Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00052-2020 de 05 de febrero de 2021
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 116 min
Órgano: Agencia Española de Protección de Datos
Fecha: 05/02/2021
Num. Resolución: PS-00052-2020
Cuestión
Sector:1 / 43
Procedimiento Nº: PS/00052/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en
base a los siguientes
ANTECEDENTES
PRIMERO : A.A.A. (en adelante, el reclamante) con fecha 22/11/2018...
Contestacion
1/43
? Procedimiento Nº: PS/00052/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en
base a los siguientes
ANTECEDENTES
PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 22/11/2018 interpuso reclamación
ante la Agencia Española de Protección de Datos contra la CONSEJERÍA DE EDUCACIÓN
E INNOVACIÓN DE LA COMUNIDAD DE MADRID (en adelante, la reclamada). Los
motivos en que basa son que tiene un hijo de seis años, que lleva varios años matriculado
en el en el CEIP ?***CEIP.1? de Madrid y cursa primer curso de primaria y el 17/09/2018, los
padres de los alumnos fueron convocados a una reunión en la que se les informó como
hecho consumado que el Colegio estaba usando la aplicación ***APLICACIÓN.1 (CD en lo
sucesivo) sin haber sido informados previamente, pudiendo visualizar en pantalla de aula, el
nombre y apellido de los niños, junto a sus calificaciones de comportamiento (puntos
positivos y negativos). Se entregaron unos códigos para que ?los padres nos registráramos
en la aplicación y la descargásemos en nuestro smartphone?.
Junto a la reclamación aporta como más importantes:
-documento 2: Copia de escrito para los padres con logo CD ?Por favor únete a nuestra
Comunidad del aula en CD? ?Este año estoy usando CD para comunicarme con los padres.?
?Download the aplicación or log into your existing account and enter this code? figurando un
código y las instrucciones para la descarga de los padres introduciendo el mismo.
-documento 3: Escrito de la reclamante a la tutora del curso, director y AMPA, fecha
19/09/2018, se ignora el modo de entrega y recepción. En él, expresa que en la aplicación
***APLICACIÓN.1 en la interfaz mostrada en la clase el 17 se podía ver el nombre del hijo y
el primer apellido, junto al dibujo del avatar, ?hemos consultado la web de la aplicación y
viene especificado que para dar de alta a usuarios menores de 13 años es necesaria una
autorización parental previa que nosotros no hemos dado?. ?Nos preocupa también el uso de
los datos que pueda hacer esa compañía privada radicada en ***PAÍS.1 y que se rige por
otro tipo de legislación, como podría ser en el futuro la venta de datos para publicidad o
terceros? ?Rogamos se borren los datos de nuestro hijo ya que es posible que se estén
incumpliendo la ley de protección de datos?, ?además de la inclusión sin ningún tipo de
autorización parental?
-documento 4, burofax de 21/09/2018 dirigido al -director del Colegio y texto en el que reitera
la falta de consentimiento para tratamiento de datos de su hijo. Manifiesta que ??La tutora
nos confirmó que nuestro hijo será borrado de la aplicación? aunque no hemos recibido
respuesta, ?No sabemos si el resto de los compañeros sigue en la aplicación y si siguen
mostrando a los alumnos el aula virtual ?En el caso de permanecer todos los niños en CD
menos nuestro hijo, se podría estar dando un caso de discriminación hacia nuestro hijo?.
Piden se le informe del día en el que se dio de alta en la aplicación los datos de su hijo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/43
-documento 5, burofax dirigido al director del centro de 27/09/2018, exponiendo que ?no
existe delegado de protección de datos en el centro o grupo de centros? y no se les informó
del tratamiento de datos personales que realiza CD y ejercen el derecho de ACCESO y
consulta de datos que ha recopilado CD a través de su profesora que aparece en la
invitación de acceso a la aplicación con el código para padres y que desaparezca esa
información de los servidores.
-documento 6 , (folio 32/1899) escrito del Director del Colegio a la reclamante ?en respuesta
al burofax recibido el 28/09? le remite a la dirección web de CD y que el responsable del
tratamiento es la CONSEJERÍA DE LA CCAA. ?En la aplicación no solicita el nombre del
Colegio ni ubicación. La única persona que debe dar un dato real es la maestra que crea
una cuenta como docente en la aplicación. Ese dato es un correo electrónico que puede
haber sido creado explícitamente para esta aplicación? Se informa que su hijo fue dado de
baja en la aplicación. El centro ?ha determinado que en lo sucesivo no aparezcan
indicadores explícitos como nombre y apellidos de alumnado, por lo que si así lo decidieses
vuestro hijo podría volver a formar parte de la aplicación?.
-documento 7, ficha de recogida de datos del hijo de la reclamante por el colegio, curso
2014-2015, de 11/06/2014.
-documento 8 carta certificada de la reclamante de 10/10/2018 a la DPD de la Consejería de
Educación de la Comunidad de Madrid (copia 40) comunicando los hechos, queriendo
además conocer si esa aplicación ?esta homologada, autorizada por la Consejería? y si ha
sido analizada desde el punto de vista del derecho de protección de datos. Indica que a
pesar de que los datos han sido borrados, es probable que en los servidores de la aplicación
sigan y pide información sobre cómo puede ejercer esos derechos.
-documento 9, de 19/10/2018, de la reclamante al Director del centro manifestándole que la
política de privacidad de CD está en ingles jurídico y no en castellano, y pidiendo que se
deje de usar la aplicación en clase. Copia de escrito del Director a la reclamante
comunicando entre otros extremos que en los centros educativos públicos, el responsable
del tratamiento es la Consejería de la Comunidad Autónoma competente en materia
educativa. También le indica que el nombre y el primer apellido no está contextualizado ya
que la aplicación no solicita ni el nombre del colegio ni su ubicación y qué es la maestra la
que crea la cuenta de usuario, También le señala que la dirección ha determinado que en lo
sucesivo no aparezcan indicadores explícitos como nombre y apellido.
-documento 10, acta notarial de 22/10/2018 plasmación de información observada en
pantallas de internet imprimiéndose la política de privacidad de CD en inglés.
-documento 15, escrito de 13/11/2018, (folio 56/1899) de la reclamante a la Consejería,
?Petición de supervisión de legalidad de uso de aplicación en centros escolares de la
Comunidad de Madrid?, solicitando la suspensión cautelar del uso de CD por no ajustarse y
al normativa de protección de datos por el interés superior del menor. Indica que ?ha
interesado la emisión de un informe legal que acompañan a la presente solicitud a fin de
dejar constancia de los riesgos presumiblemente elevados para protección de datos?. En
documento 16 figura el informe que menciona, tratándose de un documento de noviembre
2018 (folios 62 a 81), no figura persona o entidad autora del mismo. En resumen, señala:
? Corresponde la aplicación a una entidad con domicilio social en ***PAÍS.1.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/43
? ?Ofrece al equipo docente un recurso visualmente amigable e intuitivo para
monitorizar el comportamiento del alumnado a través del perfilado que se dirige a facilitar al
docente la evaluación de su clase de manera interactiva y a transmitir su resultado a padres
y madres en tiempo real mediante un smartphone?. ?Es una aplicación de comunicación
para el aula, conectando a profesores, padres y alumnos que la usan para compartir
mensajes durante la jornada?. Manifiesta que CD Inc. cede datos de los afectados para
propósitos cuyo conocimiento exige conocer su ?política de privacidad?? y se halla solo en
inglés. Refiere tres leyendas informativas sobre la aplicación, ?tu información es tuya?,
?supervisión y control pleno? y ?Eliminación a los doce meses?. Se copia el literal de una
cláusula informativa en ingles referida al borrado de una cuenta de estudiante y el
mantenimiento de algún dato por motivos de responsabilidad, incluyéndose una dirección de
e mail en la que el ?school official? puede instar la eliminación del nombre del estudiante y el
contenido.
? Se produce con el uso de CD la ?transferencia internacional de datos personales
fuera de la UE con cesiones de estos a 31 empresas para finalidades desconocidas?, según
informa THE CHILDREN COMISSIONER OFFICE en Reino Unido? (adjunta enlace en el
que conduce a un folleto informativo sobre la recogida y cesión de datos de menores fecha,
noviembre del 2018). Hay una referencia expresa a un ejemplo de ?recogida datos por parte
de la aplicación de Class Dojo?, indicando que se usa en más del 70% de las escuelas en el
Reino Unido. Menciona que algunas cuestiones han sido contempladas sobre su uso con
datos personales, que no requiere información sensible para funcionar y los niños pueden
ser identificados por otros dato que no sean su nombre, con iniciales o alias, en vez de sus
nombres reales sin embargo algunos profesores usan información sensible de cualquier forma
se indica que los datos son compartidos con otras 31 entidades cada una con su propia
política de privacidad y que aumenta la preocupación por la posible monitorización y seguimiento
constante ). Indica que ?que conducen a presumir que la aplicación comporta
riesgos para la protección de datos personales de niños y niñas cuya actividad se monitoriza
a partir de la misma, resultando previsiblemente elevada la probabilidad de que esos riesgos
se materialicen en daños de gravedad para los afectados?. Se precisaría efectuar una
?evaluación de riesgos? que CD debe aportar, o en su defecto llevar a cabo la Consejería.
Menciona el papel de los centros educativos en la publicación y difusión de sus datos a
través de los servicios de la sociedad de la información.
? Incide en que el sistema utilizado por la aplicación de puntuación positiva o negativa
que se puede visualizar por los alumnos y sus padres puede incidir negativamente en los
compañeros de aula aumentando la competitividad, en el sentido de que ? Existe un ranking
gráfico que se exhibe en las aulas y que podría vulnerar el deber de secreto al hacer
públicas las calificaciones.?
? Refiere a CD como un prestador de servicios y como tal lo considera encargado del
tratamiento con todas las obligaciones que conlleva.
-documento 24, dirigido el 16/11/2018 por la reclamante a la inspección Educativa, narrando
los hechos, que desde el día 7/09/2018 su hijo les habla de la aplicación en la que tienen un
avatar y les dan puntos, teniendo el 17/09 una primera reunión de grupo con la tutora y los
demás padres, y que al día siguiente solicitaron la exclusión de su hijo de la aplicación ,
reseñando que es una aplicación que trata los datos de comportamiento de su hijo, y un
posible trato discriminatorio, por el tratamiento de datos que hace la aplicación, reiterando la
petición de que se deje de usar.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/43
-documento 25, respuesta a la reclamante de la Subdirección General de Formación del
Profesorado, indicando que CD ?no pertenece a ninguna de las actividades de formación
avaladas por su Subdirección y excede de sus competencias? y que ?Es competencia única
de los Centros educativos adoptar planes de trabajo y formas de organización en el ejercicio
de su propia autonomía, por lo que serán ellos quienes informen a las familias del uso.?
-documento 26, escrito de reclamante de 20/11/2018, al director del CEIP en el que le envía
la respuesta de la SG de Formación del profesorado y pide al suspensión cautelar de la
aplicación.
-documento 27, copia impresa en inglés, de página de la aplicación para crear una ?clase?
en la que se dan instrucciones para crear el nombre de una clase, asignándole el grado,
nivel o curso, luego introducir el nombre y apellido de los estudiantes.
SEGUNDO : A la vista de los hechos y de los documentos aportados por la reclamante, la
Subdirección General de Inspección de Datos traslada el 9/01/2019 a la reclamada la
reclamación para su análisis y ?comunique a la reclamante la decisión que adopte al
respecto?, y en el plazo de un mes desde la recepción de este escrito deberá remitir a esta
Agencia la siguiente información:
?1. Copia de las comunicaciones, de la decisión adoptada que haya remitido al
reclamante a propósito del traslado de esta reclamación, y acreditación de que el
reclamante ha recibido la comunicación de esa decisión.
2. Informe sobre las causas que han motivado la incidencia que ha originado la
reclamación.
3. Informe sobre las medidas adoptadas para evitar que se produzcan incidencias
similares.
4. Cualquier otra que considere relevante.?
La reclamada no respondió a la petición.
TERCERO: Con fecha de 15/02/2019, se recibe escrito número de registro 007902/2019,
procedente de la reclamante manifestando que transcurrido un mes desde el traslado de la
reclamación, no ha recibido respuesta alguna.
CUARTO: Con fecha 15/03/2019, se admite a trámite la reclamación.
QUINTO: Con fecha de 20/03/2019, se recibe escrito en esta Agencia, con número de
registro 014417/2019, remitido por la reclamante, manifestando que el día 15/03/2019,
recibió contestación de la Consejería, con el que no muestra su conformidad, y que en el
centro educativo se sigue usando la plataforma CD con los nombres de los alumnos
exhibiendo un ?ranking? de alumnos de seis años, que es una práctica excesiva y
desproporcionada, lo que podría suponer una vulneración de los artículos 6 y 7 de la Ley
Orgánica 3/2018 de Protección de Datos y Garantías de los Derechos Digitales (en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/43
adelante, LOPGDD) al no haber sido recabado el consentimiento de los padres o tutores
legales.
Añade que su hijo se encuentra discriminado por no estar incluido en CD y utilizar
otro tipo de metodología pedagógica.
Con fecha de 27/03/2019, se recibe escrito en esta Agencia, con número de registro
016009/2019, remitido por la reclamante añadiendo que la aplicación CD tiene la
funcionalidad de medir el nivel de ruido de la clase, con lo que tiene acceso al micrófono, y
la reclamante no tiene seguridad de que esta funcionalidad no pueda también grabar
conversaciones y almacenarlas en la nube del sistema. Añade que también se está
produciendo una vulneración del artículo 15 del RGPD al no haber respondido a su derecho
de acceso, que ejerció en su día, a los datos que se mantuvieron de su hijo durante los diez
primeros días de clase, momento en el que se le dio de baja.
Con fecha 25/06/2019 se recibe escrito en esta Agencia, con número de registro
031846/2019, remitido por la reclamante añadiendo, que la comunicación del día de entrega
de notas se había realizado a través de la plataforma CD, resultando que la reclamada, al
estar su hijo en esta plataforma, se enteró de este hecho de casualidad en un cumpleaños.
Con fecha 4/10/2019 se recibe escrito en esta Agencia, con número de registro
046075, procedente de la reclamante, manifestando que el día 24/09/2019, con anterioridad
a la reunión colectiva con las profesoras, mantuvo una reunión con el Director del centro
educativo en la que la comunicó que siguiendo directrices de la Consejería ya no se
utilizaría CD para la mensajería pero que se seguiría utilizando en las aulas de forma
anonimizada.
?En este nuevo curso escolar, ya en la reunión colectiva con las profesoras, no se
informó sobre la plataforma CD ni se recabó el consentimiento de los padres para el
tratamiento de los datos durante el curso escolar 2019/2020. ?
La reclamante señala que el que no se cedan datos de los niños y niñas a CD le
parece positivo, pero insuficiente, ya que interpreta que se siguen cediendo datos dentro de
la propia clase entre los niños, no autorizada por los padres, puesto que estos son capaces
de identificar el pseudónimo y el avatar de los demás. Sigue insistiendo en la discriminación
de su hijo por no encontrase en CD al haber solicitado su baja. Termina indicando que no
consta tampoco que se haya hecho una evaluación de impacto relativa a la protección de
datos en la que se demuestre la necesidad y proporcionalidad del uso de CD para ceder
datos dentro de la propia clase.
SEXTO: Con fecha de 17/04/2019 se recibe en esta Agencia, con número de registro
020463/2019, escrito remitido por la Consejería con los siguientes informes:
1) Informe de la DIRECCIÓN GENERAL DE BECAS Y AYUDAS AL ESTUDIO,
manifestando:
El artículo 120 de la Ley Orgánica 2/2006, de 3/05, de educación establece que los
centros dispondrán de autonomía pedagógica, de organización y de gestión, por lo que el
uso de estos servicios responde a una decisión del propio centro.
La referencia a que esta Consejería promociona el uso de ?CD? se fundamenta en un
curso de formación de docentes impartido por una entidad colaboradora. Esta formación, en
particular, como muchas otras, se enmarcan en el objetivo de la adquisición y consolidación
de la competencia digital docente, incluyéndose en estos cursos información sobre la
normativa vigente de protección de datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/43
Añaden que esa Dirección General no tiene competencia para desaconsejar
expresamente el uso de ?CD?, pues el uso de esta aplicación así como el de otras al alcance
de los centros educativos de la Comunidad de Madrid siempre queda supeditado, y así se
transmite, a la vigente normativa de Protección de Datos.
Indican que se ha creado una Comisión para analizar el grado de cumplimiento del uso
de aplicaciones informáticas en centros educativos y establecer unas instrucciones de uso
de las mismas en lo que se refiere a la normativa de protección de datos, formada por
distintos departamentos de la Consejería.
-Manifiestan que se ha solicitado desde la Dirección General de Becas y Ayudas al Estudio
un informe complementario al Director del centro usuario de la aplicación. Aporta copia del
escrito firmado el 5/03/2019 por el Director General. Se contiene el literal:
?Tras la revisión del informe enviado por el uso que realiza su centro sobre la
aplicación, Class Dojo, y ante las dudas planteadas solicitamos un informe complementario
sobre la regulación de la voluntariedad del uso de dicha aplicación por parte de las familias
de los alumnos, y cómo se regula el que unas familias usen esta aplicación y otros no
participen en su uso. ?
Además solicitamos respuesta a las siguientes cuestiones:
-cómo se ha informado a las familias sobre el uso de la aplicación y cómo se ha realizado la
autorización por parte de las mismas,
-cómo se ha procedido dentro de la aplicación en el uso de los datos de los alumnos, ¿se ha
procedido a alguna anonimización?,
- ¿qué uso se realiza de la aplicación? ¿se comparten otros datos como fotos, audios o
incluso notas de los alumnos?
En el informe deberían de hacer constar si desde el centro educativo se tiene
constancia en qué servidores y donde está alojada la aplicación de Class Dojo.?
1) Escrito, informe, de 20/11/2018 del DIRECTOR DEL CEIP ?***CEIP.1? DE MADRID,
que manifiesta que: ?***APLICACIÓN.1 es un recurso metodológico, bajo formato de
aplicación informática. En concreto, su principal finalidad (entendida siempre como un
recurso metodológico más) es el control de comportamiento en el aula mediante refuerzos.
Se presenta de forma atractiva para el alumnado, ya que a cada niño se le asigna un
muñeco virtual (avatar) diferente, junto con su nombre. En el aula habitualmente se usa un
momento al día (se proyecta en la PDI) para repasar cómo ha ido la jornada, intentando
destacar de cada alumno lo que mejor ha hecho para reforzarlo positivamente. ?
?Para su utilización, únicamente se solicita un correo electrónico del docente usuario.
No se solicitan ni nombre ni ubicación del centro educativo, ni el nivel en el que se va a usar.
Después, el docente usuario introduce los nombres del alumnado??.
?La decisión de usar esta aplicación como un recurso metodológico más, concierne a
cada docente haciendo uso de la libertad de cátedra que le garantiza el artículo 20 de la
Constitución Española.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/43
?Se trata de una aplicación autorizada por la Consejería de Educación de la
Comunidad de Madrid, que ofrece y homologa cursos tanto propios como de otras entidades
(sindicatos, universidades?)
?La aprobación la hace de un modo implícito la Consejería de Educación, ofreciendo
la formación que, a modo de muestra, se puede ver en los documentos adjuntos. Su uso no
conlleva coste alguno para ningún miembro de la comunidad educativa. En reunión general
mantenida el pasado lunes 17 de septiembre entre las tutoras de los dos grupos de Primero
de Primaria con los padres y madres del alumnado, en el apartado metodológico se
procedió a mostrar el funcionamiento de la aplicación. Para hacerlo más fácilmente
comprensible, ya se habían puesto los nombres de los niños. También se ofreció en ese
momento la posibilidad de que, opcionalmente, las familias se pudiesen dar de alta en la
aplicación. Para esta alta voluntaria, las familias que así lo decidan, sí deben facilitar sus
datos (correo electrónico, al menos), así como aceptar la política de privacidad de la
empresa creadora de la aplicación. De este modo, las familias que así lo deseen, pueden
tener información más inmediata del comportamiento de sus hijos, ofreciendo además un
medio de comunicación con el docente a través de mensajes bidireccionales, atendiendo así
la comprensible demanda de las propias familias. Una familia, después de la mencionada
reunión, manifestó a la tutora de su hijo su disconformidad con ***APLICACIÓN.1 aludiendo
al tema de protección de datos. Se procedió, en consecuencia, a dar de baja a este alumno
en la aplicación de forma inmediata.?
?El proceso de enseñanza/aprendizaje de este alumno se realiza exactamente igual
que con el resto de la clase, salvo en el uso de esta aplicación, la cual no es más que un
recurso metodológico añadido a los otros muchos empleados en el aula.?
?La mencionada familia propuso que, si no hacía uso de la aplicación su hijo, no
debería usarse en todo el Colegio. Se le respondió, obviamente, que se seguiría utilizando y
que si reconsideraba su postura, su hijo podría volver en cualquier momento a formar parte
de este recurso. ?
?El uso de ***APLICACIÓN.1 en esta clase se está llevando con total normalidad si
bien es cierto que, una vez transcurridas las primeras semanas, el inicial entusiasmo infantil
ha dado paso a una inserción de la aplicación de una forma más natural como el recurso
metodológico añadido que es, fomentando, además, la competencia digital del alumnado.?
2) Recomendaciones de la DELEGACIÓN DE PROTECCIÓN DE DATOS, en la que se
indica que se debe hacer llegar un escrito al centro educativo informándole de la necesidad
de realizar las siguientes actuaciones a la hora de utilizar una aplicación educativa:
?Se debe comprobar si los datos se almacenan en un país de la Unión Europea, en
un país que ofrezca garantías equivalentes a las del RGPD y que los datos podrían estar
alojados en empresas de ***PAÍS.1 siempre que estas se hayan acogido a los principios del
Escudo de Privacidad (Privacy Shield).
Leer la política de privacidad, valorar las posibles cesiones de datos y recopilación
de datos.
Se recomienda el estudio de diseño del tratamiento, procurando minimizar los datos
y cuando sea posible anonimizarlos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/43
No se recomienda la subida de fotografías a esas aplicaciones educativas debiendo
anonimizar las imágenes de forma que no pueda identificarse a los alumnos del centro.
Es preciso que los padres y madres de menores de 14 años así como los mayores
de 14 años, hayan prestado su consentimiento informado de conformidad con el artículo 13
del RGPD previo al alta del alumno en la aplicación informática, y adjuntan un modelo que
puede ser utilizado si es de utilidad.?
3) Remisión de informes a la reclamante con justificante de entrega.
SÉPTIMO: Con fecha 25/06/2019 se recibe escrito de la reclamante en el que manifiesta la
?discriminación que padece, pues manifiesta que se enteró el 18/06 de que se iban a entregar
las notas y se había informado por el canal de ***APLICACIÓN.1, el cual no es la herramienta
de comunicación con el colegio oficialmente establecida.
OCTAVO: Con fecha de 5/07/2019 se recibe en esta Agencia, con número de registro
031060/2019, escrito remitido por la DELEGACIÓN DE PROTECCIÓN DE DATOS DE LA
CONSEJERÍA, manifestando su participación en la elaboración de un ?decálogo de buenas
prácticas para los centros educativos públicos de la Comunidad de Madrid?. De este decálogo
se desprende que la única plataforma digital que recomienda la Consejería es su plataforma
EDUCAMADRID resultando este un entorno seguro y controlado, proveyendo a toda la
comunidad educativa un amplio conjunto de servicios web, herramientas educativas y
escenarios virtuales para la enseñanza y el aprendizaje. Adjuntan:
- Decálogo de buenas prácticas
- Modelo de recogida de consentimientos para los centros educativos públicos de la
Comunidad de Madrid.
Cuando el centro haga uso de aplicaciones y herramientas externas a las
institucionales de la Consejería de Educación:
- El centro debe haber aprobado e incluido en la PROGRAMACIÓN GENERAL
ANUAL del curso, el uso justificado de las plataformas o aplicaciones externas previa
comprobación de que cumplen con la política de privacidad exigida por el Reglamento (UE)
2016/679 de Protección de Datos y que puede consultarse por las familias o los alumnos
mayores de 14 años, a través de los enlaces correspondientes incorporados en la página
web del centro.
- En el uso de aplicaciones o plataformas educativas se anonimizará o
pseudonimizarán los datos personales necesarios de los alumnos y se cederán los mínimos
los estrictamente necesarios.
-Establecerá pautas para la recogida de datos del formulario de la matrícula
especificando qué datos deben incorporarse y qué otros deben recabarse en documento
aparte.
NOVENO: Tras la admisión de la reclamación, se iniciaron actuaciones de investigación,
con el siguiente resultado que figura en el informe de fecha 22/01/2020:
? ?CD, perteneciente a la empresa estadounidense CD Inc., es un sistema de puntos,
recompensas y objetivos con objeto de alentar el desempeño del alumno. Hay que aclarar
que aunque la reclamada se refiere a los puntos obtenidos en CD como calificaciones, estas
no son las calificaciones periódicas de las diferentes materias, sino una suma de puntos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/43
concedidos por el cumplimiento de objetivos y comportamiento del alumno (se mantiene
atento, participa en clase, curiosidad, etc.), aunque de forma genérica, podrían especificarse
como calificaciones. De hecho, puede no utilizarse en todas las materias, sino solamente
por profesores de alguna de ellas.?
? Examinada la plataforma CD se comprueba que recopila y transfiere a sus sistemas
de ***PAÍS.1 los siguientes datos (se pone entre paréntesis los tipos de cuenta que
comparten esta información):
o Nombre y apellido (padre, profesor, alumno y tutor). Se comparten con la compañía
estadounidense ***COMPAÑÍA.1 de servicio de correo electrónico (tercero).
o Teléfono (profesor).
o Dirección de correo (profesor, padre, tutor). Se comparten con la compañía
estadounidense ***COMPAÑÍA.1 de servicio de correo electrónico (tercero).
o Nombre de usuario en la aplicación (alumno).
o Contraseña (padres, profesor, alumno y tutor).
o Años (alumno).
o Género (profesor, maestro y tutor). Se comparten con la compañía estadounidense
***COMPAÑÍA.1 de servicio de correo electrónico (tercero).
o Idioma (profesor, padre, tutor y estudiante). Se comparten con la compañía
estadounidense ***COMPAÑÍA.1 de servicio de correo electrónico (tercero).
o Dirección del colegio (profesor, padre, tutor y estudiante).
o Fotografías, vídeos, dibujos, etc. (profesor, padre, tutor y estudiante).
o Nombre del colegio (profesor y tutor). Se comparten con la compañía
estadounidense ***COMPAÑÍA.1 de servicio de correo electrónico (tercero).
o Dirección del colegio (padre, profesor, alumno y tutor). Se comparten con la
compañía estadounidense ***COMPAÑÍA.1 de servicio de correo electrónico (tercero).
o Datos de asistencia a clase (profesor).
o Cuenta de puntos (profesor).
Otros datos obtenidos automáticamente según la empresa para saber ?cuándo las
cosas salen mal? o para ayudar a mejorar CD:
o Dirección IP (profesor, padre, tutor, estudiante y usuarios desconectados).
o Detalles del navegador (profesor, padre, tutor, estudiante y usuarios desconectados).
o Cookies y otras tecnologías similares.
o Información del dispositivo (padre, profesor, alumno y tutor).
o Información de la aplicación móvil.
o Actividad del servicio: tiempo de acceso, tiempo de conexión, detalles del navegador,
páginas vistas, URL de referencia, clics, localización aproximada (nunca la localización
precisa sin obtener previamente el consentimiento) y colección de dispositivos
sincronizados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/43
Toda esta información se almacena en la nube AWS DE AMAZON.COM, INC
(acogida al escudo de privacidad ? Privacy Shield) de forma cifrada.
Se hace hincapié en la POLÍTICA DE PRIVACIDAD en que los datos de los
estudiantes no se venderán ni alquilarán a terceros.
Hay que señalar que la política de privacidad está disponible solamente en ***URL.1.
-Se graba diligencia en el sistema SIGRID de la AEPD con la totalidad de datos recabados
según consta en el sitio web de CD.
-En la POLÍTICA DE PRIVACIDAD CD, se indica que solo conservan la información
personal de un niño durante el tiempo que la cuenta esté activa, que se borra
automáticamente tras un año de inactividad, a menos que la ley o la escuela del niño (para
cuentas de alumnos) exijan que la conserven, la necesiten para hacer cumplir sus políticas
o para garantizar la seguridad de la comunidad CD.
-?CD ha firmado el ?Compromiso de Privacidad del Estudiante? y ha recibido el sello SAFE
HARBOR de la Ley de Protección de Privacidad en línea para niños (COPPA) de
IKEEPSAFE, lo que significa que la política de privacidad de CD y sus prácticas con
respecto a la operación del servicio han sido revisadas y aprobadas para cumplimiento del
programa COPPA Safe Harbor de iKeepSafe. COPPA protege la privacidad en línea de los
niños menores de 13 años y está avalada por la Comisión Federal de Comercio de los
Estados Unidos. También señalan en su política de privacidad que tienen que cumplir con
Ley Federal de Derechos Educativos y Privacidad Familiar (FERPA).?
-CD Inc. declara que? comparte los datos personales de los usuarios (profesor, tutor,
alumno y padre) con proveedores de servicio (terceros) para el funcionamiento de su
plataforma de acuerdo con sus instrucciones y política de privacidad, aunque cada uno de
estos proveedores tiene una política de privacidad propia?. En el sitio web de CD aparece
una lista de 25 proveedores de servicio ***URL.1.
-El servicio CD deja claro en su artículo ?Para maestros: obtener el consentimiento de los
padres? que ?en cumplimiento de la ley de protección de datos en línea de menores
(COPPA), al igual que en el Reglamento (EU) 2016/679 sobre Protección de Datos de
Carácter Personal (en adelante, RGPD) en sus artículos 6.1 y 8.1, los profesores deben
informar y recabar el consentimiento de los padres con anterioridad al tratamiento de los
datos del menor?. Para facilitar esta labor, la propia compañía de CD pone a disposición de
los colegios una plantilla genérica de obtención del consentimiento en 22 idiomas, aunque
debe adaptarse a las diferentes normativas locales.
Se graba diligencia en el sistema SIGRID con la plantilla en español de obtención de
consentimiento.
DÉCIMO: El Inspector incorporó:
- Con fecha 19/01/2020, impresión de la página ?Transparencia de datos? del sitio web
***URL.1.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/43
Se adjunta a esta diligencia, una impresión de la referida página, con 22 folios, traducida al
castellano por GOOGLE CHROME. Figura el literal: ?A continuación puede ver qué
información recopilamos, por qué y cómo la recopilamos, dónde se almacena y cómo es
diferente para cada tipo de usuario en nuestra plataforma.?
-Con fecha 22/01/2020, se obtiene impresión del resultado de buscar la compañía
***APLICACIÓN.1, INC. En el sitio web ***URL.2 obtenida a través de Internet Se anexa a
esta diligencia impresión de dicho resultado.
DÉCIMO PRIMERO: Con fecha 3/02/2020, se recibe escrito de la reclamante en el que
manifiesta que se sigue usando la aplicación en la clase, y se han anonimizado los datos,
pero considera que esta no es irreversible. Aporta copia de la agenda de su hijo en la que se
le indica que ella indica si le habían vuelto a dar puntos, pidiendo explicaciones y
respondiendo en la agenda que su hijo no está en CD y lo usa con los demás. Incide en que
las calificaciones de comportamiento acumulativas siguen siendo públicas y todos los niños
saben a quién corresponde cada avatar y cada seudónimo.
DECIMO SEGUNDO: Con fecha 21/02/2020, la Directora de la AEPD, acuerda:
?INICIAR PROCEDIMIENTO SANCIONADOR de APERCIBIMIENTO a la CONSEJERÍA DE
EDUCACIÓN E INNOVACIÓN DE LA COMUNIDAD DE MADRID, (CEIP ***CEIP.1? por la
presunta infracción del artículo 5.1.a) del RGPD, conforme el artículo 83.5.a) del RGPD.
DÉCIMO TERCERO: Con fecha 11/03/2020, se reciben alegaciones de la de la DIRECCIÓN
GENERAL DE BILINGÜISMO Y CALIDAD DE LA ENSEÑANZA que con la nueva estructura
orgánica es la responsable del tratamiento, indica:
1) ?Desconocía que el CEIP ***CEIP.1 mantenía el uso de la aplicación CD?, ?a pesar de
que entre las recomendaciones difundidas a todos los centros educativos sostenidos con fondos
públicos de la Comunidad de Madrid, la única plataforma digital recomendada por la Consejería
es EDUCAMADRID?. También se indicó que en los modelos oficiales de consentimiento
se avisaba de que ?cuando el centro decida utilizar aplicaciones ajenas a las institucionales
, debe adoptar las medidas necesarias para cumplir con la normativa de protección de datos?.
Manifiesta que ?El Centro había dejado de utilizar la mensajería de CD con las familias
y se utilizó una técnica de anonimización con el resto de los alumnos que participaban en la
plataforma?, ?informándose a los padres?. ?Al inicio del presente curso escolar las familias
fueron informadas de la nueva forma de tratar los datos de sus hijos y la reclamante
continuaba sin participar en la plataforma, por lo que el impacto sobre el consentimiento
informado es bajo, y ninguna de las familias afectadas ejercitó su derecho de oposición?.
?Aunque el centro ha adoptado medidas que minimizan el impacto sobre privacidad es cierto
que no son suficientes y pueden optimizarse o poner en funcionamiento otras medidas
adicionales?. Para dar cumplimiento a las obligaciones proactivas para el responsable de este
tratamiento, se han adoptado las siguientes medidas:
- Se ha requerido el CEIP que deje de utilizar la aplicación CD dado que:
a) Su uso actual no se adecua a la normativa de protección de datos porque ?no se ha
diseñado un procedimiento que permita un sistema robusto de seudonimización o de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/43
anonimización procedente de un análisis de riesgo del tratamiento de los datos en el entorno
de la aplicación CD?.
b) ?A pesar de que fueron informadas en reuniones de tutoría al inicio del curso escolar
anterior y del actual, no se ha informado a las familias de modo que se pueda demostrar que
han otorgado su consentimiento expreso de manera libre e inequívoca o que les permite
ejercer sus derechos. Aunque los centros pueden decidir utilizar en el ejercicio de su actividad
educativa sin recabar el consentimiento previo herramientas qué les permitan ofrecer un
mejor servicio y obtener mejores resultados en el aprendizaje, cuando dichas herramientas
incluyen el tratamiento de datos personales fuera del ámbito educativo institucional se
requerirá el consentimiento expreso de las familias puesto que no es obligatorio que el centro
trate dichos datos fuera de las plataformas institucionales y se considerarán actividades
complementarias, pero no necesarias, por el hecho de que se están cediendo datos
personales a terceros que pueden poner en riesgo, y en nuestro caso concreto se hace
peligrar la confidencialidad de dichos datos que son los titulares de los mismos tienen
derecho a decidir que sean o no cedidos en dichas plataformas.?
c) El hecho de haber introducido los datos personales en la aplicación convierte al prestador
del servicio encargado de tratamiento lo que requeriría un contrato vinculación jurídica del
responsable porque trata datos por cuenta de éste de acuerdo con el artículo 28 del RGPD.
d) Por tanto, no podrán volver a utilizarla y comunicará esta circunstancia a su comunidad
educativa hasta que:
-haya realizado un análisis de riesgos.
-disponga de un contrato que vincule al centro y no a uno o varios profesores únicamente,
que garantice las condiciones del tratamiento conforme a la normativa sobre Protección de
Datos.
- haya autorizado formalmente su uso, incluyendo obligar y recabar consentimiento de las
familias.
-haya incorporado a su programación anual su utilización detallando los extremos anteriores
2) Manifiesta en relación con la afirmación de que el centro educativo no dispone de contrato
de prestación de servicios con CD ( encargado de tratamiento) que permita acreditar que el
tratamiento de los datos de los menores se adecúa a los principios y garantías establecidos
en el reglamento, es necesario saber:
2.1-Cada profesor cuando se da de alta en la plataforma CD lo hace como usuario
registrado del servicio y los términos del servicio o acuerdo constituyen el contrato legal
entre usuario y CD (ver página 1 documento 7.2 TERMINOS DE USO CD, donde
expresamente se informa: ?Al registrarse para obtener una cuenta o acceder a utilizar el
servicio de ***APLICACIÓN.1 usted reconoce que ha leído y acepta estar sujeto a este
acuerdo. Si está utilizando el servicio en nombre de una institución que tiene un acuerdo
por escrito con ***APLICACIÓN.1, ese acuerdo rige su uso del servicio.? ?Actualmente no
existe ningún acuerdo de esta clase entre el responsable del tratamiento y el prestador de
servicio, entre este y el centro educativo del centro que se han registrado en la plataforma
tienen un contrato con el prestador de servicio y cada uno de ellos tuvo una reunión con los
padres del grupo que les afectaba el uso de la aplicación de modo que las familias estaban
informadas sobre el uso del mismo?. La reclamante si disponía de la suficiente información
que exige el reglamento como para poder oponerse al tratamiento tal como hizo. Dicho
contrato nunca va a consistir en un contrato de encargado puesto que como puede
apreciarse los términos del servicio consisten en un contrato de adhesión donde existe una
desigualdad entre las partes que no se aviene con el concepto de encargado de tratamiento,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/43
es decir el reglamento establece la posibilidad de regular la relación entre responsable y
encargado a través de un acto jurídico unilateral del responsable del tratamiento. Los
contratos que se suscriben con los proveedores de servicio a través de plataformas y
aplicaciones educativas son ?contratos de adhesión? análogos al de otros suministros y
propios del comercio electrónico donde quien redacta las cláusulas del contrato no es una
administración pública con su poder desorbitado, sino que el prestador del servicio dicta las
previsiones, no pudiendo quien contrata más que aceptarlo o rechazarlo, lo que choca
frontalmente con el concepto de responsable definido por el reglamento qué decide contratar
con un encargado para que le preste un servicio siguiendo las instrucciones dadas. Por
tanto el contrato existe, pero no es de encargado ni el responsable, centro educativo, se
encuentra en condiciones de dar instrucciones a ***APLICACIÓN.1 para la limitación del
uso de los datos una vez que hayan sido introducidos en la plataforma quedando la
autonomía de su voluntad reducida a la mínima expresión. Tampoco podrá exigir que se
modifique su política de privacidad.
3) Manifiesta que el cumplimiento del titular de la aplicación se desprendería de:
3.1?La información que proporciona, que en su política de privacidad? señala que
?cumple con las leyes americanas COPPA-ley de protección de privacidad en línea para
niños-, FERPA-ley de derechos y privacidad de educación familiar-, con el RGPD y
certificada con el Escudo de seguridad ***PAÍS.1.? También aplica seudonimización en el
sentido que la define el reglamento, asegurándose ?que la información adicional necesaria
para identificar a la persona cuyos datos han sido objeto de seudonimización se mantenga
por separado y sujeto a medidas técnicas y organizativas para garantizar la no atribución a
una persona identificada o identificable?.
3.2 ?Como aspecto negativo, cabe señalar que ***APLICACIÓN.1 recopila todo tipo
de ?Datos del estudiante?, ya sea recopilados o proporcionados por una escuela o sus
usuarios, estudiantes o padres o tutores de los estudiantes para un propósito escolar, que
es descriptiva del estudiante, incluida, entre otras, su nombre y apellido, domicilio, número
de teléfono, dirección de correo electrónico u otra información que permita el contacto en
línea, registros de disciplina, videos, resultados de exámenes, datos de educación especial,
calificaciones, evaluaciones, registros médicos, registros de salud, números de seguridad
social, información biométrica, discapacidades, información socioeconómica, afiliaciones
políticas, mensajes de texto de información religiosa, documentos identificadores de
estudiantes, actividad de búsqueda, fotos, grabaciones de voz o información de
geolocalización. Los datos de los estudiantes, tal como se especifica en el Anexo B del
Anexo de privacidad de datos de los estudiantes,(link al anexo en inglés). CD los recopila o
procesa de conformidad con sus servicios. Los datos del estudiante no incluirán datos
seudonimizados o información que haya sido anonimizada, o datos de uso anónimos con
respecto al uso de los servicios de CD por parte de un estudiante.?
3.3 Manifiesta que: ?Además, existe la posibilidad de integración de terceros en su
servicio cuando por ejemplo el maestro, estudiante o padre, utiliza aplicaciones, sitios webs
u otros servicios de terceros que utilizan o están integradas con el servicio de
***APLICACIÓN.1 pudiendo recibir información sobre lo que publica o comparte, por
ejemplo puede compartir una actividad de BIG IDEAS en Twitter o Facebook, estos servicios
reciben la información que comparte a través de esta funcionalidad y la información que está
compartiendo desde CD. ?
CD también trabaja con proveedores de servicios que pueden estar ubicados dentro
o fuera del Espacio económico europeo, por ejemplo enviar correos electrónicos en su
nombre, servicios de administración de bases de datos, soporte de seguridad. También CD
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/43
puede autorizar a estas compañías a recopilar información en su nombre. Estos
proveedores tienen acceso limitado a la información personal para realizar estas tareas y
están obligados contractualmente a protegerla y usarla solo para el propósito para el cual
fue revelada. Adicionalmente, estos socios y proveedores de servicios deben cumplir con
las obligaciones de confidencialidad y seguridad de forma coherente con la Política de
privacidad. (figura un enlace para consultar una lista de los terceros con los que trabaja
para proporcionar el Servicio y el sitio web de ***APLICACIÓN.1).
4) ?Pese a que en el uso de plataformas educativas, carecen de referencias entre la
vinculación jurídica del responsable y el encargado o prestador del servicio, se están elaborando
unas instrucciones precisas, concretas y detalladas de obligado cumplimiento en
los centros para su difusión y aplicación urgente. Entre la medida estará que las plataformas
complementarias ajenas a las institucionales, si puede ser, no manejen datos personales
, se incluyan en la programación general anual del centro, deberá seguir un protocolo
en el que tendrá que:
- ?Informar a las personas afectadas del uso de la aplicación de su política de privacidad,
recabar el consentimiento cuando sea necesario previa valoración de la necesidad de
alojar y realizar cesiones o transferencias internacionales de datos en sus servidores
aunque los prestadores del servicio almacenen datos en un país del espacio económico
europeo o aunque el país ofrezca un nivel de protección equivalente o este acogida el
algún escudo de privacidad?.
-?Se realizará obligatoriamente un análisis de riesgo o evaluación de impacto si procede y
diseñara los tratamientos de datos personales antes de utilizar cualquier aplicación o
plataforma estableciendo criterios como el uso limitado de datos personales tratando los
mínimos posibles favoreciendo la seudonimización es decir disociación de datos
personales o cuando sea posible la anonimizacion (identificación no posible).?
-En último lugar, ?para que el centro educativo puede utilizar las aplicaciones o plataformas
ajenas a las de la Consejería, deberá acreditar que dispone de un contrato suscrito por el
propio centro con el encargado del tratamiento o empresa prestadora del servicio que
permita acreditar el tratamiento de los datos personales se adecua a los principios y
garantías del RGPD?.
-?Se ha comenzado a estudiar la posibilidad de establecer convenios o cualquier otra figura
vinculante jurídicamente con entidades prestadoras de servicios cuyas plataformas sean
utilizadas frecuentemente por centros educativos que permitan obtener un compromiso
sobre cesión y privacidad para que se minimice el impacto sobre la seguridad de los datos,
dando parte al DPD?.
5) Adjuntan como anexo los ?términos de servicio CD?, como archivo numerado en el
pdf 7.2.1 y una segunda parte de los mismos términos, numerado en el pdf como 7.2.2., con
13 folios, ambos en castellano.
6) Se aporta un escrito del Director del CEIP ***CEIP.1 firmado el 9/03/2020 en el que
indica que ?como se ha recogido en la programación general anual del presente curso,
desde su inicio, los docentes que deseasen usar la aplicación CD solo podrían mediante un
proceso previo de anonimización del alumnado, en el que apareciera únicamente con una o
dos letras y/o números asignados. Se utilizaba solo a nivel de aula, nunca como medio de
comunicación con las familias-por lo que las mismas no se darían de alta en ningún caso en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/43
la aplicación-De este proceso, se dio cumplida información en las reuniones generales que
se mantuvieron con las familias al principio de curso (en las que estaban relacionadas con
alguno de los cuatro docentes que iban a hacer uso de la aplicación).
7) Indican que desde la ?sección de protección de datos de la Consejería, acaban de
informar que ni siquiera tomando las medidas descritas se puede hablar de un sistema
robusto de anonimización por lo que se traslada en este momento la prohibición de usar
esta aplicación a los docentes que lo venían haciendo?
8) Indican que aportan el anexo de las condiciones que acepta un docente al darse de
alta en la aplicación. Se trata de los ?términos del servicio y política de privacidad de
***APLICACIÓN.1?, en inglés (25 folios pdf) y traducido al castellano (26 folios).
DÉCIMO CUARTO: Con fecha 1/06/2020, se inicia el periodo de practica de pruebas,
practicándose las siguientes:
1) Se accede en GOOGLE, con el termino de búsqueda ***APLICACIÓN.1, resultando:
***URL.1 en la que aparece: ?trae cada familia a tu clase
?¡Únete al 95% de los colegios en ***PAÍS.1 usando ***APLICACIÓN.1 para involucrar a los
niños y conectar con las familias! Gratis para profesores, para siempre.?
La información que aparece en principio está en español. Figura en apartados
distintos, ?inscribirse como; un?? Docente, Padre-madre/ estudiante/líder de la escuela?
?Los padres se unen a la clase fácilmente usando cualquier dispositivo?
En la parte inferior de la página empresa/recursos/ayuda/comunidad, se clica en
recursos/centro de privacidad, abriéndose ***URL.1, en la parte central de la página figuran
dibujos y links con las siguientes secciones:
-?Cumplimiento del RGPD?
-Cumplimiento de la Ley FERPA, ?Ley de Derechos Educativos y Privacidad de la Familia? y
han ganado el sello FERPA de iKeepSafe, una prestigiosa organización dedicada a la
protección de la privacidad.?
-Cumplimiento de la Ley COPPA, ?***APLICACIÓN.1 cumple plenamente con la ley federal
COPPA de los Estados Unidos. Los niños menores a 13 años deben obtener el
consentimiento de los padres para poder abrir una cuenta, o bien los padres o el docente
deben crear una para ellos ?Visita nuestras preguntas frecuentes). Las prácticas de
***APLICACIÓN.1 son regularmente revisadas y aprobadas por su cumplimiento con el
programa de seguridad "COPPA Safe Harbor" de iKeepSafe.?
Mas abajo figuran otros dibujos con links figurando uno denominado ?Seguridad de
aplicación?
En el apartado AYUDA, se clica sobre:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/43
-TERMINOS DEL SERVICIO: que lleva a información en inglés, se copia-pega en hoja
Word y se incorpora al procedimiento como objeto asociado denominado ?terms of service,
ingles? con 34 folios. Se traduce al castellano a través del traductor de GOOGLE y se
incorpora al procedimiento como objeto asociado denominado ?***APLICACIÓN.1 término
de servicio castellano? ocupando 33 páginas, traducido. Como aspectos a considerar, figura
en resumen, como más destacable:
Estos Términos de Servicio contienen términos generales de uso y aceptación de las
condiciones. Se establece con carácter general quien puede crear las cuentas de usuarios, y
se examina al detalle por cada usuario distintas opciones, supuestos y requisitos que se
deben cumplir. Al estar todas en el mismo sitio, no se accede rápido a la información de
?Usuario registrado como maestro maestros? debiendo antes leer las generales, Se
establece prolijamente como se ha de dar de alta, y como se organizan todas las opciones
que se tienen para configurar la cuenta y las carpetas que se pueden originar.
- ?Si es menor de 18 años?, declara que su tutor legal ha revisado y aceptado el Acuerdo. Si
no logra que sus padres o tutores lean y acepten el Acuerdo, no tiene permiso para usar el
Servicio.
- ?Si está celebrando este Acuerdo en nombre de una empresa u otra entidad legal (incluso
si usted es personal escolar que ingresa en nombre de su escuela), declara que tiene la
autoridad para obligar a dicha entidad a estos términos y condiciones, en los que en caso de
que los términos "usted", "su" o "Usuario" se refieran a dicha entidad. Si no tiene dicha
autoridad, o si no está de acuerdo con estos términos y condiciones, no debe aceptar este
Acuerdo y no puede usar el Servicio.?
- ?La Compañía solo compartirá y usará su información personal de acuerdo con la Política
de privacidad actual de ***APLICACIÓN.1 en ***URL.1.?
- Sin embargo, tenga en cuenta que cualquier Contenido del usuario que pueda estar en un
Registro educativo o Datos del estudiante (incluido el Contenido del usuario en lo
relacionado con los mensajes enviados a través de Mensajes de ***APLICACIÓN.1, Historia
de la clase o Historia o carteras de la escuela, puede conservarse después de que elimine
su cuenta para razones de cumplimiento legal de la escuela (por ejemplo, mantenimiento de
"registros educativos" en virtud de la Ley de Derechos Educativos y Privacidad de la Familia
(FERPA)). Consulte la sección titulada "Eliminar su cuenta" en nuestra Política de privacidad
y nuestras Preguntas frecuentes sobre eliminación para obtener más información. El
contenido de IP, los datos de los estudiantes, los registros educativos o la información
personal se eliminan de manera similar al vaciado de la papelera de reciclaje o la papelera
en una computadora. ?
- POLITICA DE PRIVACIDAD
-Se incorpora al expediente como objeto asociado, mediante su copiado-pegado en hoja
word en inglés, con la denominación ?***APLICACIÓN.1 política privacidad inglés? ocupando
53 folios, dirección ***URL.1 llamado PRIVACY POLICY HIGHLIGTS, ?LAST update
december 30/2019?, finaliza con ?visit here?. A través del traductor se incorpora al
procedimiento como objeto asociado documento word su traducción con el título
?***APLICACIÓN.1 pol privaci español? ocupando 48 folios.
En la página figura en su parte izquierda un índice de las cuestiones que comprende, de
forma que pinchando en ellas es posible consultar los aspectos que directamente interesan.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/43
¿QUÉ ES ***APLICACIÓN.1?, Es una plataforma de comunicación escolar que ayuda a los
maestros a alentar a los estudiantes en la clase e involucrar a los padres. Los maestros
usan ***APLICACIÓN.1 para alentar a los estudiantes (o "puntos de retroalimentación")
para mostrar habilidades o fortalezas críticas, como persistencia, pensamiento crítico,
trabajo en equipo y liderazgo. Los maestros también pueden publicar tareas utilizando la
función Actividades para que los estudiantes completen en ***APLICACIÓN.1
("Actividades"). Los maestros envían mensajes instantáneos a los padres con mensajes de
texto, imágenes, videos y calcomanías, y también agregan publicaciones a Class Story y
School Story, una fuente privada de momentos del aula y la escuela que solo los
estudiantes, padres, "maestros verificados" y los líderes escolares pueden ver. Los maestros
también pueden agregar publicaciones a Portafolios individuales, un portafolio privado de
contenido que solo el estudiante, sus maestros, los líderes escolares y los padres del
estudiante pueden ver.?
?Los padres pueden ser parte de las experiencias en el aula de sus hijos, y esos
padres pueden comprar opcionalmente Características Premium para ayudar a alentar a sus
hijos en casa. Los padres acceden y configuran una cuenta en ***APLICACIÓN.1 utilizando
un código único para padres proporcionado por el maestro de su hijo, o mediante una
invitación por correo electrónico / SMS directamente del maestro que contiene el código
único para padres, o eligiendo al maestro de su hijo de la lista que se muestra en
***APLICACIÓN.1 Aplicación o sitio web de ***APLICACIÓN.1 (la solicitud para unirse a la
clase aún debe ser aprobada por el maestro). Los padres solo pueden ver los puntos de
retroalimentación de sus propios hijos (si el profesor de su hijo los elige) y las Carteras, no
las de otros estudiantes. Los padres también pueden configurar una cuenta sin usar un
código único para padres, pero la cuenta no se conectará a la escuela de su hijo (o
cualquier actividad en la cuenta de su hijo en la escuela), pero también pueden comprar
Funciones Premium.?
?Datos personales qué recopilamos? ?consulte este cuadro para ver las categorías
detalladas la información personal que recopilamos de cada tipo de usuario?. Pinchando
lleva a otro menú distinto denominado ?Information Transparency? que según la persona que
cree una cuenta, se recogen una serie de datos así por ejemplo figura la casilla para todos,
para profesor, para el padre, para el estudiante.
Figura que para la cuenta de usuario de profesor se puede coger el nombre y
apellidos, nombre del colegio: para entre otros propósitos, crear conexiones dentro de una
comunidad escolar entre los profesores, los padres y los estudiantes, también la dirección
del colegio con la misma finalidad .
Datos de geolocalización durante la creación de la cuenta a través de la aplicación
web se selecciona dónde está la escuela y se encuentran escuelas cercanas que usan la
aplicación. También se podrían recoger datos de fotografías vídeos documentos dibujos o
archivos de audio qué supone la comunicación entre los usuarios para los estudiantes,
también la fecha de asistencia de los alumnos para mejorar el servicio de los profesores
subrayando la asistencia a clase determinados días y la consulta en el histórico de
asistencia a clase.
Puntos denominados ? feedback points? por el profesor para los estudiantes en sus
clases, y se comparte con los padres de los estudiantes que pueden ver los puntos.
Dirección IP para poder estimar una localización, la finalidad, proporcionar el servicio
proporciona seguridad y calidad del servicio, permitiendo mejorar el producto para los
usuarios,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/43
Indica que los datos son compartidos con terceras partes proveedores del servicio
como por ejemplo SAN GRID en ***PAÍS.1 para enviar email y la información se envía fuera
del área del del Espacio Económico Europeo a los Estados Unidos, La base legitima para el
tratamiento es la de ?legítimo interés y ejecución de contrato?
Existe el apartado de ?información a proporcionar?, ?información de clase?, que indica
como profesor es a introducir el curso y los nombres de los estudiantes de la clase es
elección del profesor introducir abreviaturas de apellidos por ejemplo o Introducir listados
con los datos también profesor puede compartir las clases que ha creado con otros
profesores del colegio que enseña junto a él .
En el apartado ?¿cuánto tiempo mantienen la información de los niños?,
?No retendremos la información personal de un niño por más tiempo del necesario
para fines educativos u obligaciones legales, o para proporcionar el Servicio para el cual
recibimos o recopilamos la información personal del niño.?
?Política de eliminación de un año para puntos de retroalimentación: para proteger a
los estudiantes, ***APLICACIÓN.1 establece límites sobre cuánto tiempo se retienen los
puntos de retroalimentación de los estudiantes dados en el aula. Para todos los estudiantes,
los puntos de retroalimentación de más de 12 meses se eliminan automáticamente. Por
ejemplo, si un maestro establece una clase en ***APLICACIÓN.1 el 1 de enero de 2020, el
1 de enero de 2021, se eliminarán todos los puntos de comentarios agregados en esa clase
(y se seguirán eliminando de forma continua) independientemente de si un estudiante tiene
o no su propia cuenta (y si esa cuenta está activa). Esto significa que los puntos de
retroalimentación no pueden existir a largo plazo. Los maestros también pueden eliminar
puntos de comentarios en cualquier momento.
Los puntos de retroalimentación o feedback points El profesor puede personalizar
los tipos de comentarios a cualquier habilidad que le guste, como "perseverante" o
"curiosidad". Un estudiante y sus padres pueden ver todos los puntos de retroalimentación
que recibió al crear una cuenta de estudiante usando el código de acceso único provisto por
su maestro. Estos códigos solo pueden ser pasados por el profesor. No pueden ver los
puntos de retroalimentación de otros estudiantes a menos que el maestro decida proyectar
la clase (por ejemplo, con un Smartboard o una pizarra interactiva), luego otros estudiantes
en la clase podrán ver los puntos totales agregados de otros estudiantes.?
La supresión ? no incluye cierto contenido cargado por el maestro, padre o estudiante
a la cartera que tal vez se considere un "registro educativo" bajo FERPA u otras leyes
estatales de privacidad del estudiante, ya que estamos obligados a retenerlos en la
dirección de la escuela .?
En ?cuenta inactiva ? figura: ?Las cuentas de los estudiantes se consideran "inactivas"
cuando se cumple todo lo siguiente:
Un maestro no ha dado ningún punto de retroalimentación al alumno en ninguna
clase en 365 días.
Si todo esto es cierto, se eliminará la cuenta del estudiante.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/43
Al eliminar una cuenta de estudiante de ***APLICACIÓN.1, se eliminarán el nombre
de usuario y la contraseña del estudiante (si anteriormente tenían una), los tokens del
dispositivo o cualquier otra información específica del dispositivo, la información de
ubicación (tenga en cuenta que no recopilamos información precisa de geolocalización de
los estudiantes) y la dirección IP .
Tenga en cuenta que los puntos de retroalimentación caducan automáticamente
después de 12 meses.
En ?safety and privacy FAQS? se indica:
?¿Qué sucede cuando borro mi cuenta?
Los maestros, padres y estudiantes pueden eliminar sus cuentas ingresando a la
configuración de su cuenta o contactándonos directamente en ***EMAIL.1
Profesor
Al eliminar una cuenta de maestro de ***APLICACIÓN.1, se eliminarán el nombre, la
dirección de correo electrónico, la contraseña, las fotos de perfil, los tokens del dispositivo y
cualquier otra información que haya proporcionado a ***APLICACIÓN.1. Esto incluye
información recopilada a través de permisos de aplicaciones móviles **.
Las clases no compartidas, los perfiles de estudiantes no reclamados y todos los
puntos de comentarios también se eliminan (incluso si están conectados a las cuentas de
padres y estudiantes).?
Debido a que los administradores escolares pueden determinar qué servicios están
disponibles y las políticas para cada servicio, el uso de ***APLICACIÓN.1 de cada escuela
es diferente. La mayoría de las escuelas tienen políticas que rigen el uso de servicios de terceros
, como ***APLICACIÓN.1, y el cumplimiento de los requisitos de notificación anual según
la Ley de Derechos Educativos y Privacidad de la Educación Familiar (FERPA). Creemos
que las escuelas están en la mejor posición para adaptar la información que comparten
con los padres en función del uso real de ***APLICACIÓN.1 en su escuela. ***APLICACIÓN.1 tiene como objetivo proporcionar a las escuelas la información que necesitan sobre
nuestros servicios y nuestras prácticas de privacidad y seguridad para que puedan mantener
a los padres bien informados. Los maestros deben trabajar con su administrador para
determinar si ya tienen el permiso adecuado para permitir que sus estudiantes usen
***APLICACIÓN.1 en el aula.
Los maestros pueden obtener el consentimiento de los padres en lo que comúnmente
se conoce como "consentimiento escolar" bajo COPPA, donde los maestros han certificado
que han recibido directamente el consentimiento de los padres para que su hijo use
***APLICACIÓN.1 con fines educativos en la escuela o pueden elegir actuar como el agente
del padre y el consentimiento en su nombre. Para las escuelas en ***PAÍS.1, ***APLICACIÓN.1proporciona una plantilla para ayudar a las escuelas a obtener el "consentimiento de
la escuela", pero depende de las escuelas determinar la mejor manera de usarlo, llenarlo
con su propia información de contacto e información sobre los servicios que habilitan, y para
compartirlo junto con los recursos para padres a continuación. Para obtener más información
sobre el "consentimiento de la escuela" bajo COPPA, consulte la Sección M de preguntas
frecuentes de la FTC.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/43
?Las respuestas a muchas preguntas importantes sobre privacidad y seguridad aparecen
en el Centro de privacidad de ***APLICACIÓN.1.
La Política de privacidad describe cómo los productos y servicios de ***APLICACIÓN.1 recopilan y usan información. Como se indica en esta política, ***APLICACIÓN.1 no
utiliza ninguna información personal del alumno (ni ninguna información asociada con una
cuenta del alumno) para ofrecer publicidad dirigida a los alumnos a los alumnos y la información
personal del alumno nunca se vende a nadie, incluidos los vendedores y anunciantes.
2) Con fecha 29/04/2020, se accede en el PC de trabajo, a ***URL.3, para visualizar en la
tienda de aplicaciones PLAY STORE, la de ***APLICACIÓN.1, figurando la denominada
***APLICACIÓN.1: ?Aula y casa?, imprimiendo el resultado en documento denominado
?***APLICACIÓN.1 en Play store?. Se indica que ?es una aplicación gratuita de comunicación
para profesores, padres y estudiantes. Los profesores pueden enviar mensajes a los
padres, y funciona en todos los dispositivos.?
Antes de descargarla, se puede leer información sobre ?Términos del Servicio? y
?política de privacidad? remitiendo a dirección web. También se pueden ver los permisos de
la aplicación, qué puede acceder a cámara, micrófono, almacenamiento, ubicación, fotos
multimedia y archivos.
Contiene información sobre la tabla de terceras entidades que prestan servicio, denominadoTHIRD PARTIES SERVICE PROVIDERS, con enlaces a sus respectivas políticas
de privacidad. Se informa entre otros aspectos que ?***APLICACIÓN.1 comparte información
con algunos otros socios, proveedores y organizaciones confiables para procesarla
en nuestro nombre de acuerdo con nuestras instrucciones. Estas compañías solo tendrán
acceso a la información que necesitan para proporcionar los Servicios de
***APLICACIÓN.1. En los cuadros obtenidos figuran dos columnas por cada prestador de
servicios, en una columna figura ?¿ cómo CD usa al proveedor ¿, y en la otra ¿Qué información
del usuario comparte o recopila este socio y / o nos la devuelve?
Entre ellas, ?sobre la información almacenada en la nube en AMAZON WEB SERVICES ?Toda la información personal del usuario y el contenido cargado, la ID del dispositivo,
los datos de solicitud y todos los registros se almacenan en AWS. Las contraseñas se almacenan
como hashes unidireccionales. Todos los datos personales se cifran ?at rest?,. ? Cifrado
at rest según google es: ? El cifrado de datos, que evita la visibilidad de los datos en caso
de acceso no autorizado o robo, se usa comúnmente para proteger los datos en movimiento
y se promueve cada vez más para proteger los datos en reposo. ... Los datos cifrados deben
permanecer cifrados cuando fallan los controles de acceso, como los nombres de usuario y
la contraseña.?
3) Se solicita a la reclamada, sobre la actuación del CEIP ***CEIP.1,(trasladen al Colegio
para su respuesta si procede) respecto de la aplicación ***APLICACIÓN.1, (CD) que
informe o aporte:
a) Detalle los cursos, asignaturas, (si se usaba para evaluar, elementos que se
valoraban y desarrollo de como se llevaba a cabo, si se guardaban y cuánto tiempo los
registros de valoraciones) edades y número de alumnos en los que se utilizaba/utiliza y
fecha en que han dejado de utilizarla.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/43
Tuvo entrada escrito de 18/06/2020 (folios 1887 expediente). A través del colegio se
indica que ?sólo se usaba en segundo curso, A, para implicar y motivar a los alumnos en actividades
de aula, en ningún momento para calificar asignaturas, y como mensajería?, ?pero
no desde septiembre del 2019 fecha del último mensaje?. Se usaba para 16 niños, y alude
al nombre del hijo de la reclamante, ?que no estaba incluido?. Indica que los registros motivacionales
se reiniciaban cada cierto tiempo, no puede concretar, ya que era cuando alcanzaban
un determinado número de puntos cuando comenzaba de nuevo la posibilidad de incentivar
al alumno con actitudes adecuadas. Manifiesta que ?se dejó de utilizar totalmente
en el curso 2019 2020 ?
b) Informen sobre el modo en que se calificaba a los niños, si se podía anotar
por el profesor lo que considerara oportuno, o se había de ceñir a lo que se contenía en la
aplicación, a los elementos incluidos en la misma exclusivamente. Si se guardaban las notas
en la aplicación, si lo que se introducían eran suma de puntos concedidos por cumplimiento
de objetivos y comportamiento del alumno y como influían en la valoración de la asignatura.
Indica a que los puntos de las motivaciones y actitudes en ningún caso afectaban a
la calificación final del alumno en ninguna asignatura, y que era sólo una forma de motivar.
Había conceptos como sentarse bien, trabajar en silencio, como una herramienta más para
fomentar estos hábitos.
c) Detalle la plataforma desde la que se bajaba la aplicación, (web, PLAY STORE
, etc.) quien se la bajaba, si existía por escrito alguna solicitud para autorizarla por el director
del centro, si se comunicaba su uso a la Consejería y dispositivos en los que se guardaba.
Manifiesta que la aplicación se bajó al PC del aula, único dispositivo en que se guardaba
, desde la web oficial, y que ? No se informó a la dirección del centro por considerarla
como una herramienta como tantas otras nunca con mayor relevancia.?
d) Informen sobre el modo de configuración de cuenta de usuario utilizaron como
profesores. Confirmación de si el profesor funcionaba en clase la aplicación con una pizarra
electrónica inteligente, que sistemas de seguridad existían en la guardado y custodia de los
dispositivos o equipos informáticos usados. Forma en que se creaban las cuentas en CLASS
DOJO, datos de los menores que se introducían. Indiquen si a los alumnos en casa o en
clase accedían a sus propias cuentas.
Manifiesta que la aplicación se usaba a través de su web proyectando la página en
una pizarra digital. ?Regularmente borraba el historial del ordenador introduciendo la
contraseña cada vez que quería acceder?. ?No se creaban cuentas ***APLICACIÓN.1 en
plural, solo la del profesor, los datos de los menores introducidos eran simplemente la
primera letra del nombre seguida de un número por ejemplo A 1 lo que hacía imposible su
identificación por parte de otras personas. Los alumnos no tenían acceso a las cuentas eran
los padres los que voluntariamente con su propio correo podían acceder a los datos de sus
hijos tras darse de alta de forma voluntaria en la aplicación.?
e) Especifiquen si se debía introducir usuario-contraseña para acceder al inicio de
la aplicación CD, y si había más ocasiones o menús en que se solicitaba introducción usuario-contraseña
, o si accedían a aplicaciones de terceros se debían introducir nuevas contraseñas.
Manifiesta que ***APLICACIÓN.1 requiere a través de su página web que ?se introduzca
en cada acceso el usuario contraseña, no habiendo solicitud por parte de terceros de
ningún tipo de contraseña u otra información.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/43
f) Indiquen si cada alumno interactuaba con la aplicación en clase o también podían
utilizarla en casa, introduciendo algún tipo de respuesta en la aplicación y se registraba
en la cartera del estudiante, y si a esta podían acceder los padres. Indique si en alguna clase
se han subido videos por ejemplo a aplicaciones de terceros que ofrece la aplicación,
como YOU TUBE.
Manifiesta que los alumnos en ningún momento interactuaban con la aplicación, sólo
podían acceder los padres que así lo desearan. ?Las fotos o vídeos subidos fueron hechos
por la docente sin introducir en ningún momento datos de terceros?.
g) Si en cada curso que se usó o ha usado, antes de operar con ella, se informaba
a los padres o se hizo como en el curso 2018-2019, que se les informa después de comenzar
a usarla. Cómo funcionaba el acceso de los padres y que posibilidades de accesos a datos
de sus hijos tenían. Si después del curso 2018-2019 se informaba si era o no obligatoria
la incorporación de los alumnos a la plataforma.
Manifiesta que en ningún momento ha sido obligatoria la incorporación de los alumnos
a la plataforma. Los padres tenían acceso a través de su correo electrónico personal y
un código personalizado que solo les permitía acceder a los datos de sus propios hijos. Después
del año 18/19, se informó de las restricciones de su uso, ?que evitaba el acceso a las
familias y poco después se prohibió su uso en el centro?. ?Nunca se tuvo como herramienta
esencial en el aula?.
h) Sobre las medidas de anonimización de los datos personales que se han ido implantando
a lo largo de los cursos, indicar desde que curso se comenzó, como evolucionó y
que consistían.
Manifiesta que ya desde el curso 2018/2019 se comenzaron a usar sobrenombres o
alias para la no iniciación de los niños usando nombres como L2 o M 1. ?Una vez informados
de que esto tampoco constituía un modo de anonimización fiable ya que no era generado
por un algoritmo etcétera, se optó por no usarlo? .
i) Indiquen si inicialmente estaba previsto que el uso de ***APLICACIÓN.1 fuera
obligatorio o voluntario, y que persona o cargo lo decidió, explicando los motivos. Si se informó
en tal sentido en la sesión inicial a los padres. Confirmen si el uso de la plataforma inicialmente
no estaba contemplado en el programa anual de enseñanza, finalidades y objeto
de este, y si lo ha estado en cursos sucesivos.
Manifiesta que se informó sobre CD en la primera reunión del curso 2018/2019, no
indicando en ningún momento que fuera obligatorio sino como una herramienta más a usar
a lo largo del curso escolar. ?No ha estado en la programación general anual por considerar
que sólo era una herramienta más, en absoluto esencial?.
j) Indiquen si el responsable de los tratamientos, Consejería de Educación, fue informado
de su instauración y puesta en marcha al inicio de alguno de los cursos en que estuvo
implantada. Señalar si el director del CEIP autorizó a cada profesor el uso de ***APLICACIÓN.1 o documento en que se comunicaba y/o se aprobaba el citado uso. Determinar si
existía protocolo o instrucciones del Director del Centro a los profesores para uso de plataformas
educativas con los datos de los alumnos, siendo los datos responsabilidad del Centro
educativo por cuenta de la Consejería.
Manifiesta que ya ha contestado en las cuestiones anteriores reiterando que no se informó
al director del centro
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/43
k) Se considera que la reclamante solicitó la baja de su hijo de la aplicación,
***APLICACIÓN.1. Aporten, si tienen disponible, la solicitud mediante la que procedieron a
la baja de datos de la reclamante y acrediten la fecha de baja de la aplicación y como se siguió
calificando al hijo de la reclamante, si se le informó a la reclamante de estos aspectos,
copia del escrito. Detalle del motivo que permitía la baja del alumno en la aplicación.
Indican que no hay documento por el que se solicitaba la baja, y se procedió a la misma
en cuanto a la reclamante mostró su desagrado con la aplicación, es decir cuando llevaba
dos o tres días usándose. Indica que al hijo de la reclamante se le siguió evaluando exactamente
igual que al resto del alumnado.
l) Indiquen, si disponen de documento o algún tipo de soporte sobre la información
que se les proporcionaba a los padres, y momento en que se les proporcionó, o en cursos
sucesivos, estructurada clara y precisa de los datos, funcionamiento de la aplicación, ejercicio
de derechos, borrado de datos etc., también sobre si se informaba en los sucesivos años
del carácter de uso voluntario para los alumnos, y sistema usado para valorar a los niños
con los que no se usaba dicho sistema, y que ventajas tenía o tiene el sistema ***APLICACIÓN.1 sobre el otro.
Indica que la información que se proporciona fue en todo momento oral,
enseñándoles la aplicación en la reunión de padres contándoles cómo funcionaba. Las
ventajas de ***APLICACIÓN.1 frente a otros sistemas son:
1 Motivación de los niños frente a otros métodos más tradicionales como puede ser
un semáforo del comportamiento.
2 El sistema es más preciso a la hora de evaluar los comportamientos. Por ejemplo,
un niño puede obtener un punto por sentirse mal, pero perderlo por no estar en silencio.
Esto no se puede hacer fácilmente con un sistema considerado como más tradicional.
m) Si se usaba la aplicación ***APLICACIÓN.1 para comunicar las calificaciones a
los padres-tutores que consintieron y se bajaron la aplicación?, durante que cursos? A que
otros datos tenían acceso, y si la comunicación padre-profesor se realizaba también a través
de la aplicación ***APLICACIÓN.1. Si la aplicación descargada por un padre permitía visualizar
en tiempo real la clase o que datos podía verificar.
Responde que en ningún momento se usó la aplicación para comunicación de calificaciones.
Solo tenían acceso a datos sobre motivación de sus actitudes en el aula de su
hijo. En ningún momento los padres podían visualizar la clase ni en directo ni en diferido.
n) En alegaciones, figura que fue el profesorado el que instauró el uso de la plataforma
en virtud de su libertad de cátedra. En tal sentido, sin entrar a valorar ese derecho, al poder
entrar en conflicto con el derecho fundamental de protección de datos de menores, detalle
las razones por las que consideran que esa tesis es apropiada para la instauración de
plataformas educativas en un sistema de educación pública con un curso programado por
parte del citado colectivo de profesores que lo puede llevar a cabo motu proprio, según las
alegaciones vertidas.
Indica que son dos cuestiones distintas y que en los centros educativos existe escasa
formación en materia de protección de datos.
1) A la CONSEJERÍA: DIRECCIÓN GENERAL DE BECAS Y AYUDAS AL ESTUDIO,
sobre:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/43
a) Si se ha dictado alguna disposición normativa, protocolo o pautas que regulen la
incardinación de las aplicaciones educativas y su uso en la labor pedagógica en los centros
escolares, estructurando los roles de profesores, directores y Consejería, con copia de la
misma.
Indica (folio 1895) que a lo largo del curso 2018/19 han tenido entrada consultas y
reclamaciones relacionadas con el uso de aplicaciones educativas cuyo estudio y
valoración ha conducido a la elaboración de unos modelos de consentimiento y unas
instrucciones para el inicio del curso 2020/21.
Manifiesta que se ha instaurado al uso principal de la plataforma educativa EDUCA
MADRID qué es un entorno seguro y que facilita la realización de tareas en formato digital
con el alumnado.
Con motivo de la declaración del estado de la pandemia, aportan copia de escrito
informe de la Dirección General Bilingüismo y Calidad de la enseñanza (folio 1895) emitido
con fecha 12/05/2020, resolución sobre el establecimiento de instrucciones y
recomendaciones a los centros educativos en relación con el uso de plataformas digitales
con fines educativos, desarrollado en función de lo que establece el decreto 288/2019 de
12/11 sobre el uso de las plataformas informáticas de los centros docentes de sistemas
informáticos vinculados al aprendizaje y actualización docente. Se refiere a la implantación
en la Comunidad de Madrid la plataforma digital EDUCA MADRID y sus características. Se
indica que antes de utilizar otras herramientas distintas para el aprendizaje y enseñanza en
aplicaciones educativas alternativas, deberá llevarse a cabo un análisis de riesgos en el
que se analizan las políticas de privacidad de dichas aplicaciones, el uso de técnicas de
anonimización robustas y la normativa vigente en materia de Protección de Datos,
debiendo ser validado su uso por esta Dirección General también se contienen referencias
a la minimización de datos en el uso por los centros educativos y que se utilice esta
programación complementaria que se incluya dentro del programación general anual que
elabora el centro educativo en un ámbito específico dedicado a las TIC, indicando en
concreto también, la finalidad educativa que se persigue. También alude a las relaciones
con alumnos y familias a través de las cuentas institucionales del centro educativo y de las
del personal docente provistas por EDUCA MADRID y finaliza indicando la potenciación de
la formación en materia de Protección de Datos a los profesionales de la enseñanza .
Manifiesta que estas instrucciones se han difundido a las direcciones de área
territorial y a los propios centros educativos
b) En sus alegaciones indican que: entre las recomendaciones difundidas a todos los centros
educativos sostenidos con fondos públicos de la Comunidad de Madrid, la única plataforma
digital recomendada por la Consejería es EDUCAMADRID?. Al respecto , se le solicita
que informe sobre la fecha en que se envió al CEIP la citada recomendación, y el sentido
que ello guarda con la realización de formación y difusión entre el profesorado de cursos
oficiales de formación de la Consejería con la plataforma ***APLICACIÓN.1.
Manifiesta que el 29/05/2019, junto con las instrucciones de principios de curso
desde la dirección, la entonces competente Dirección General de Becas y Ayudas al
estudio, se envió a las direcciones de área territorial un decálogo de buenas prácticas en el
uso de aplicaciones educativas a cada dirección de área territorial y se difundió dicho
decálogo entre sus respectivos centros educativos para que todos los docentes fueran
conocedores de estas recomendaciones. Manifiesta que de la gran diversidad de
herramientas digitales y plataformas educativas que los docentes deben conocer, si su uso
se emplea en cuestiones curriculares se ha dictaminado que los datos deben ser siempre
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/43
anonimizados y las instrucciones de principio de curso incluyen información más concreta
sobre los diferentes tipos de tratamientos a los centros educativos.
c) Si como responsable de los tratamientos, se ha considerado remitir a Directores de
centros, instrucciones sobre uso de aplicaciones, plataformas y-o redes sociales en relación
con la actividad educativa, y si se ha tenido en cuenta informar de algún modo en las
matriculaciones de los alumnos del uso de las mismas.
Manifiesta que desde esa Dirección General, con el asesoramiento de la Delegación
de Protección de Datos, está realizando una labor de homogenización y de valoración y
evaluación de riesgos que los proyectos de las diferentes plataformas o aplicaciones les
propongan desde los centros educativos. Alude asimismo, a las instrucciones de la
Consejería de Política Educativa y Ciencia y Organización Educativa del 5/07/2019 sobre
el comienzo del curso escolar 2019 a 2020 que en su apartado 11 establece que ?cada
centro acordará en las PGA las aplicaciones educativas que se emplearán durante el curso
escolar en el apartado específico TIC y para ello se analizaran las políticas de privacidad
de dichas aplicaciones garantizando el cumplimiento de la normativa de Protección de
Datos tras una ponderación entre la cesión de datos y la finalidad de la aplicación
educativa?.
d) Informe sobre base legitima utilizada en tratamiento de datos en las enseñanzas en
las que resulta obligatorio el uso de plataformas educativas on line, de acuerdo con la ley
orgánica de educación en la CCAA de Madrid, normativa de apoyo dictada, o informes que
desee aportar al respecto.
Alude a lo previsto en la Ley Orgánica 2/ 2006 de 3/05 de educación en la modificación a
su redacción por la Ley Orgánica 8/ 2013 de 9/12, el artículo 17 que establece la del
objetivo de la educación primaria la iniciación en la utilización para aprendizaje de
tecnologías de la información y comunicación, en el artículo 23 en la educación secundaria:
como ?desarrollar destrezas básicas en uso de fuentes de información?, y como normativa
de desarrollo alude a los decretos de los diferentes niveles de enseñanza que mencionan
el desarrollo de la competencia digital en sus currículos. Añaden que han creado un
protocolo para el control de herramientas que manejan los centros y en qué actividades
concretas las necesitan, estableciendo medidas que eviten tratamiento de datos de
carácter confidencial en dichas plataformas y que acote su uso y están elaborando un plan
de formación especial de Protección de Datos con alcance general.
DÉCIMO QUINTO: Con fecha 30/11/2020 se emite propuesta de resolución, del tenor:
?Que por la Directora de la Agencia Española de Protección de Datos se sancione
con apercibimiento a CONSEJERÍA DE EDUCACIÓN E INNOVACIÓN DE LA COMUNIDAD
DE MADRID, por una infracción del artículo 5.1.a) del RGPD, de conformidad con el artículo
83.5 a) del RGPD.?
Se reciben alegaciones de la reclamada que reiteran lo manifestado.
HECHOS PROBADOS
1) La reclamante fue informada en una reunión celebrada el 17/09/2018 en el CEIP
***CEIP.1, DE MADRID, donde asiste su hijo menor de edad, que sus datos comenzaron a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/43
ser utilizados a través de la aplicación ***APLICACIÓN.1, perteneciente a una entidad
ubicada en ***PAÍS.1. Reclama indicando que no es una aplicación segura, estando la
información en inglés y no habiéndose recabado el consentimiento de los padres antes del
uso de los datos para tal fin. Indica, además, que en la reunión se invitó a los padres a
registrarse en la aplicación y a descargarla en el smartphone, proporcionándoles unos
códigos en un papel impreso, para introducir en la aplicación, figurando el literal: ?este año
estoy usando ***APLICACIÓN.1 para comunicarme con los padres? sirviendo también como
enlace de comunicación con el profesor.
De acuerdo con las manifestaciones de la reclamante, los datos que figuraban de los
alumnos, porque a los padres se les mostró la aplicación, eran nombre y apellido (solo uno)
junto a puntos, positivos o negativos.
2) Con fecha 19/09/2018, la reclamante envío escrito al CEIP pidiendo que se borraran
los datos de su hijo de la aplicación, y con fecha 27 del mismo mes, manifiesta, pidió al
colegio el acceso a los datos que ?había recopilado la aplicación ***APLICACIÓN.1? ?a
través de la profesora? y que ?desapareciera toda la información que se hubiera
recopilado?. En un escrito del colegio a la reclamante de 28/09/2018, se le informó que los
datos de su hijo fueron dados de baja de la aplicación y que en cuanto al resto de alumnos,
en la aplicación, iban a cambiar los datos de nombre y apellidos por otros indicadores no
explícitos.
3) Se acredita el envío de la reclamante de un escrito a la Consejería de Educación del
13/11/2018, solicitando, a pesar de conocer que los datos de su hijo fueron excluidos de la
aplicación, la suspensión del uso de CD en las aulas del colegio por considerarla no
ajustada a protección de datos en seguridad, transferencia de datos, falta de claridad en la
información de ejercicio de derechos entre otros motivos.
4) En la PROGRAMACIÓN GENERAL ANUAL que por el colegio se aprueba al principio
de cada curso, recogiendo todos los aspectos relativos a la organización y funcionamiento
del mismo, incluidos los proyectos, el currículo, las normas, y todos los planes de actuación
acordados y aprobados, por el Consejo Escolar, no se contemplaba para el curso 2018-2019
la introducción y uso de la aplicación ***APLICACIÓN.1, ya que según su Director, era una
herramienta educativa no esencial.
5) El Director del CEIP, manifiesta que: ?La aplicación se descargó por una profesora
en el ordenador del CEIP, directamente de la web de ***APLICACIÓN.1, sin informar a la
dirección por considerarla una herramienta. La cuenta la creaba la profesora y ella era la
que introducía los datos de los alumnos, sin que ellos tuvieran acceso a la cuenta,
tampoco en casa. Indica que la ventaja de la aplicación era su atractivo para los niños
motivándoles más, y un sistema totalizador de los puntos que se otorgaban. Solo los
padres con su correo podían acceder a datos de sus hijos si se daban de alta en la
aplicación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/43
Era el profesor el que proyectaba en la clase, una pantalla, y era el mismo el que
manejaba la aplicación en clase. Los alumnos no interactuaban directamente con la
aplicación
6) El colegio manifestó que ***APLICACIÓN.1 ?es un recurso metodológico que sólo
se usaba en un curso, para 16 niños de la misma clase, segundo A,? para implicarlos,
motivarlos en actividades de aula, y reforzar hábitos o actitudes, con acciones como
?sentarse bien?, trabajar en silencio no para calificar asignaturas. A cada niño se le asigna
un muñeco virtual (avatar) diferente, junto con su nombre.? En el aula, habitualmente se
usa un momento al día (se proyecta en la PDI) de la clase, para repasar cómo ha ido la
jornada, intentando destacar de cada alumno lo que mejor ha hecho para reforzarlo
positivamente. Usualmente, cuando alcanzaban un determinado número de puntos,
comenzaba de nuevo la posibilidad de incentivar al alumno con actitudes adecuadas,
reiniciándose cada poco tiempo. Se dejó de utilizar totalmente en el curso 2019 2020.
Como mensajería con los padres, se dejó de usar en septiembre del 2019, si bien
manifiesta que la comunicación padre-tutor se hacía a través de agenda.
También manifestó en pruebas que ?en ningún momento ha sido obligatoria la
incorporación de alumnos a la plataforma? y que los padres no visualizaban la clase, ni en
directo ni en diferido. Añade que ya en el mismo curso 18/19 se comenzaron a usar
sobrenombres o alias para no identificar directamente a alumnos, formados por letras y
números, acabando por no usarla y que en el curso 2019-20 se recogió en la
programación general anual que los docentes que deseasen usar la aplicación CD solo
podrían hacerlo mediante un proceso previo de anonimización del alumnado, en el que
apareciera únicamente con una o dos letras y/o números asignados, usándose solo a nivel
de aula, nunca como medio de comunicación con las familias, y de ese proceso, se dio
información en las reuniones generales que se mantuvieron con las familias al principio de
curso La reclamada ha manifestado que los niños no tenían acceso por si mismos a la
aplicación, ni la manejan ellos mismos en el aula, sino que es el profesor el que accede y
valora.
7) En sus alegaciones al acuerdo de inicio, indica la Consejería que desconocía el uso
de la aplicación en el CEIP y que le requirió para dejar de utilizarla, ya que consideraba
entre otros, que se utilizaban datos de alumnos sin tener en cuenta la proyección de
riesgos que podía entrañar su uso.
8) De acuerdo con las investigaciones previas y las pruebas practicadas, las
características de la aplicación ***APLICACIÓN.1, relacionadas con el uso que realiza el
profesor en clase, en la cuenta única que el crea y con la que trabaja, y el uso que los
padres pueden efectuar de la misma, aplicables al caso concreto serian:
-Entre otras informaciones que figuran al descargar la aplicación están los ? términos
generales de uso y aceptación de las condiciones?, indicando con carácter general quien
puede crear las cuentas de usuarios, y se examina al detalle por cada usuario, distintas
opciones. Se establece prolijamente como ha de darse de alta, y como se organizan todas
las opciones que se tienen para configurar.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/43
Entre otras posibilidades que contiene la aplicación figura la de un sistema de asignación
de puntos, recompensas y objetivos para alentar el desempeño del alumno, sumando o
restando por el cumplimiento de objetivos y comportamiento del alumno (se mantiene
atento, participa en clase, curiosidad, etc.). Los datos que se recopilan, según la
información que consta en la propia aplicación, son: datos del alumno; nombre y apellido
los datos que introduce el que crea la cuenta (en este caso profesores, nombre y apellido,
dirección de correo electrónico) cuenta de puntos, datos de asistencia a clase, figuran
también dirección y nombre del colegio, fotografías, videos, dibujos, localización
aproximada, si bien en el presente caso se informó por el CEIP que no introdujeron los
datos de dirección del colegio al crear la cuenta.
Figura en condiciones generales de la aplicación, en el apartado ?cuanto tiempo
mantienen la información de los niños?, que ***APLICACIÓN.1 establece límites sobre
cuánto tiempo se retienen los puntos de retroalimentación de los estudiantes dados en el
aula. ?Para todos los estudiantes, los puntos de retroalimentación de más de 12 meses se
eliminan automáticamente?. Esto significa que los puntos de retroalimentación no pueden
existir a largo plazo. Los maestros también pueden eliminar puntos de comentarios en
cualquier momento. ?-En safety and privacy FAQS se indica:
?¿Qué sucede cuando borro mi cuenta?
Los maestros, padres y estudiantes pueden eliminar sus cuentas ingresando a la
configuración de su cuenta o contactándonos directamente en ***EMAIL.1?
Profesor
Al eliminar una cuenta de maestro de ***APLICACIÓN.1, se eliminarán el nombre, la
dirección de correo electrónico, la contraseña, las fotos de perfil, los tokens del dispositivo
y cualquier otra información que haya proporcionado a ***APLICACIÓN.1. Esto incluye
información recopilada a través de permisos de aplicaciones móviles?? Las clases no
compartidas, los perfiles de estudiantes no reclamados y todos los puntos de comentarios
también se eliminan (incluso si están conectados a las cuentas de padres y estudiantes).
-En el apartado de política de privacidad de ***APLICACIÓN.1, se informa que los padres
pueden acceder a ***APLICACIÓN.1 utilizando un código para padres proporcionados por
el maestro de su hijo y la solicitud para unirse a la clase aún debe ser aprobada por el
maestro y los padres sólo pueden ver los puntos de retroalimentación de sus propios hijos
y las carteras de ellos no las de otros estudiantes.
-CLAS DOJO. declara que comparte los datos personales de los usuarios (profesor, tutor,
alumno y padre) con proveedores de servicio (terceros) para el funcionamiento de su
plataforma de acuerdo con sus instrucciones y política de privacidad, aunque cada uno de
estos proveedores tiene una política de privacidad propia. En el sitio web de CD aparece
una lista de 25 proveedores de servicio con enlaces a las mismas para poder ver su
política de privacidad ***URL.1. Se informa: ?Estas compañías solo tendrán acceso a la
información que necesitan para proporcionar los Servicios de ***APLICACIÓN.1?. En los
cuadros obtenidos figuran dos columnas por cada prestador de servicios, en una columna
figura ?¿cómo CD usa al proveedor? y en la otra ¿Qué información del usuario comparte o
recopila este socio y /o nos la devuelve?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/43
-Se indica que los datos e información, se almacenan en la nube AWS de AMAZON.CO
M.INC. refiriendo que ?Toda la información personal del usuario y el contenido cargado, la
ID del dispositivo, los datos de solicitud y todos los registros se almacenan en AWS. Las
contraseñas se almacenan como hashes unidireccionales. Todos los datos personales se
cifran ?at rest?, ? Cifrado at rest según google es: El cifrado de datos, que evita la
visibilidad de los datos en caso de acceso no autorizado o robo, se usa comúnmente para
proteger los datos en movimiento y se promueve cada vez más para proteger los datos en
reposo. ... Los datos cifrados deben permanecer cifrados cuando fallan los controles de
acceso, como los nombres de usuario y la contraseña.?
En la cláusula informativa de política de privacidad de CD se indica que el profesor
puede introducir el nombre de los alumnos de la clase o puede referirse a ellos en
abreviaturas. Asimismo, se indica que los puntos de retroalimentación de más de 12
meses se eliminan automáticamente, y que ?los Maestros también pueden eliminar puntos
de comentarios en cualquier momento?.
9) En junio 2019, antes de firmarse el acuerdo de inicio, la reclamada comenzó a
evaluar el grado de cumplimiento del uso de aplicaciones informáticas en centros
educativos elaborando un ?decálogo de buenas prácticas para los centros educativos
públicos de la Comunidad de Madrid?, publicado en internet: ***URL.4 figurando como
fecha 4/6/2019 partiendo de la base de recomendar como única plataforma digital
educativa EDUCAMADRID, e instrucciones sobre alojamiento de datos en plataforma
oficial y garantías en el tratamiento de datos como la anonimización en caso de uso de
otras tecnologías, con obligación de analizar la protección de datos personales antes de
utilizar cualquier aplicación informática externa a las ofrecidas por la Consejería y
recomendando el uso de mensajería instantánea para comunicarse a través de dicha
plataforma.
10) La Dirección General de Bilingüismo y Calidad de la Enseñanza, competente para la
elaboración de directrices de uso de las plataformas informáticas de los centros docentes y
sistemas informáticos vinculados al aprendizaje y actualización docente, firmó el
12/05/2020 una resolución con instrucciones y recomendaciones a los centros educativos
en relación con el uso de plataformas digitales con fines educativos. Además, diversas
resoluciones y comunicaciones insisten en el uso de la plataforma EDUCAMADRID para
funcionalidades relacionadas con la educación en línea, creando al mismo tiempo canales
de comunicación para solventar las dudas sobre la educación.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de
control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de la
Agencia Española de Protección de Datos es competente para resolver este procedimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/43
II
Como punto de partida, debe señalarse que la disposición adicional vigesimotercera
de la Ley Orgánica 2/2006, de 3/05, de Educación, establece de modo general, los principios
básicos en relación con el tratamiento y comunicación de datos de carácter personal dentro
de su ámbito de aplicación, al disponer:
?1. Los centros docentes podrán recabar los datos personales de su alumnado que
sean necesarios para el ejercicio de su función educativa. Dichos datos podrán hacer
referencia al origen y ambiente familiar y social, a características o condiciones
personales, al desarrollo y resultados de su escolarización, así como a aquellas otras
circunstancias cuyo conocimiento sea necesario para la educación y orientación de
los alumnos.
2. Los padres o tutores y los propios alumnos deberán colaborar en la obtención de
la información a la que hace referencia este artículo. La incorporación de un alumno
a un centro docente supondrá el consentimiento para el tratamiento de sus datos y,
en su caso, la cesión de datos procedentes del centro en el que hubiera estado
escolarizado con anterioridad, en los términos establecidos en la legislación sobre
protección de datos. En todo caso, la información a la que se refiere este apartado
será la estrictamente necesaria para la función docente y orientadora, no pudiendo
tratarse con fines diferentes del educativo sin consentimiento expreso.
3. En el tratamiento de los datos del alumnado se aplicarán normas técnicas y
organizativas que garanticen su seguridad y confidencialidad. El profesorado y el
resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y
familiares o que afecten al honor e intimidad de los menores o sus familias quedará
sujeto al deber de sigilo.
4. La cesión de los datos, incluidos los de carácter reservado,?necesarios para el
sistema educativo, se realizará preferentemente por vía telemática y estará sujeta a
la legislación en materia de protección de datos de carácter personal, y las
condiciones mínimas serán acordadas por el Gobierno con las Comunidades
Autónomas en el seno de la Conferencia Sectorial de Educación.?
La LOPDGDD indica.
-artículo 83 ??:
?1. El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital
y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la
dignidad humana, los valores constitucionales, los derechos fundamentales y,
particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección
de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo,
en particular en lo que respecta al alumnado con necesidades educativas especiales.
Las Administraciones educativas deberán incluir en el diseño del bloque de asignaturas de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/43
libre configuración la competencia digital a la que se refiere el apartado anterior, así como
los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada
utilización de las TIC, con especial atención a las situaciones de violencia en la red.
2. El profesorado recibirá las competencias digitales y la formación necesaria para la
enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.
3. Los planes de estudio de los títulos universitarios, en especial, aquellos que habiliten
para el desempeño profesional en la formación del alumnado, garantizarán la formación en
el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales
en Internet.
4. Las Administraciones Públicas incorporarán a los temarios de las pruebas de acceso a
los cuerpos superiores y a aquéllos en que habitualmente se desempeñen funciones que
impliquen el acceso a datos personales materias relacionadas con la garantía de los
derechos digitales y en particular el de protección de datos.?
-La DISPOSICIÓN FINAL 10, ?modificación de la Ley Orgánica 2/2006, de 3/05 de
educación?, introduciendo en su artículo 2.l) en ?fines del de la educación? su apartado l :
?l) La capacitación para garantizar la plena inserción del alumnado en la sociedad
digital y el aprendizaje de un uso seguro de los medios digitales y respetuoso con la
dignidad humana, los valores constitucionales, los derechos fundamentales y,
particularmente, con el respeto y la garantía de la intimidad individual y colectiva?.
Las herramientas y sistemas de soportes de aprendizaje en el ámbito de los
contenidos educativos digitales se contemplan en la modificación de la citada ley, operada
por la reciente Ley Orgánica 3/2020 de 29/12 de Educación, BOE 30/12.
El artículo 111 bis titulado tecnologías de la información y la comunicación establece
por parte de las administraciones educativas y los equipos directivos de los centros la
promoción de las tecnologías de la información y la comunicación en el aula, ?como medio
didáctico apropiado y valioso para llevar a cabo las tareas de enseñanza y aprendizaje?. Y
en su punto 6, que ?El Ministerio de Educación, Cultura y Deporte elaborará, previa consulta
a las Comunidades Autónomas, un marco común de referencia de competencia digital
docente que oriente la formación permanente del profesorado y facilite el desarrollo de una
cultura digital en el aula.?
Al iniciar actividades que impliquen el tratamiento de datos personales, el responsable
del tratamiento debe tomar siempre tiempo para considerar cuál sería el motivo legal apropiado
para el tratamiento previsto.
Como regla general sobre base legitimadora del tratamiento de entidades públicas, el
considerando 43 del RGPD, señala que es poco probable que las autoridades públicas
puedan confiar en la base de tratamiento de datos en el consentimiento del afectado, pues
como autoridad pública, se parte de la base de que existe un claro desequilibrio de poder
en la relación entre dicho responsable y el interesado.También está claro en la mayoría de
los casos que el interesado no tendrá alternativas realistas a aceptar el tratamiento
(términos) de este responsable. Ello no quiere decir que el uso del consentimiento como
base legal para el tratamiento de datos por parte de las autoridades quede totalmente excluido
en el marco jurídico del RGPD, sino que tiene un ámbito reducido. Así, hay que bus-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/43
car las raíces lícitas del tratamiento en una base legitimadora, de entre las que señala el
artículo 6.1 del RGD, que son:
?a) el interesado dio su consentimiento para el tratamiento de sus datos personales para
uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es
parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por
el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un
niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.?
En cuanto al párrafo dos, de la disposición adicional vigesimotercera de la Ley
Orgánica 2/2006, si un alumno se incorpora a la organización del centro escolar, se somete
a sus reglas y pautas, en este caso con un fin educacional, la recogida de sus datos por
ejemplo, en el formulario de matrícula y su alta en el centro, no respondería al esquema
de tratamiento basado en el consentimiento, sino más bien a una relación entre las partes
que incluye elementos que se señalan en la Ley de Educación, y relación en la que pueden
posteriormente, surgir otros tipos de tratamientos, en los que según su finalidad debe
hallarse una base legitimadora adecuada para dicho tratamiento.
En cuanto a la promoción de la competencia digital es una misión de interés público
a contemplar en los esquemas del tratamiento, conforme señala el artículo 6.1.e) del
RGPD con los requisitos propios de la citada ley de Educación y Garantía de derechos
afectados en su implantación en cuestión de protección de datos.
Se debe diferenciar, pues el consentimiento al tratamiento de datos, que se produce
usualmente en el seno de una libre prestación o en la aceptación de bienes o servicios, en
los que ambas partes disponen de autonomía de su voluntad, de la que podría ser válida
base legitima para el desarrollo de la función o fines educativos, promovida por los poderes
públicos como idóneas y necesarias intervenciones para cumplir los objetivos perseguidos,
que enlazan con la Ley Orgánica de Educación 2/2006 de 3/05, de 2006 (LOE) como misión
de interés público que establece el desarrollo de las competencias digitales y las tecnologías
de la información.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/43
En general, el consentimiento solo puede ser una base legal adecuada si se ofrece el
control a un interesado y se le ofrece una verdadera opción con respecto a aceptar o declinar
los términos ofrecidos, sin sufrir perjuicio.
En el presente caso, el uso de aplicaciones informáticas como fin conectado con la
educación y promoción de nuevas tecnologías podría encontrar su base legitimadora en el
artículo 6.1.e) del RGPD.
Sin embargo, que pudiera existir esta base legitimadora para el tratamiento, debería
acompañarse no solo por el sujeto legitimado para la implementación de la citada base legitimadora
, sino que habría de respetar los principios y garantías del derecho que establecen
el RGPD y la LOPDGDD
III
El RGPD, en vigor en el momento de acontecer los hechos, señala en su artículo
5.2:? El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el
apartado 1 (principios del tratamiento entre los que se encuentra el modo en que han de ser
tratados los datos, ?de manera lícita, leal y transparente?) capaz de demostrarlo
(«responsabilidad proactiva»). Ello implica que el citado responsable es el que asume su
propia responsabilidad dirigiendo y coordinando la materia, incluyendo la del personal que le
presta servicios.
En el cumplimiento de dicho precepto, y sin que se contenga un listado especifico de
actividades concretas a llevar a cabo sobre las tareas para acreditar el cumplimiento, bajo el
principio de proactividad debe desplegar apropiadas medidas técnicas y organizacionales
con el fin de cumplir dicho principio (artículo 24 del RGPD), encontrándose dentro del mismo
además y entre otras, el de ser capaz de demostrar el cumplimiento. Entre las tareas que se
pueden citar, se pueden entender incluidas, sin ánimo de exhaustividad:
- Documentar la base legitimadora del tratamiento de datos para poder demostrar cuál es la
que se está aplicando en particular. En este caso, antes de la puesta en marcha de la
aplicación, debería haber valorado:
? Si es necesaria o no, en el sentido de que no exista otra medida mas moderada para
la consecución de tal propósito con igual eficacia por poder llevarse a cabo manualmente la
actividad, El termino necesidad no debe confundirse con útil sino si el tratamiento es
objetivamente necesario para la finalidad.
? Si es idónea o apropiada en el sentido de que la medida es susceptible de conseguir
el objetivo propuesto, y
? Si su implementación es ponderada o equilibrada por derivarse de ella mas
beneficios o ventajas para el interés que perjuicios sobre otros bienes o valores en
conflictos,
Todo ello considerando la ubicación de datos en la nube, en servidores de ***PAÍS.1
y la transferencia de datos al exterior, que son menores de edad en el ámbito de una
aplicación cuyos términos de información son muy extensos y complejos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/43
También, debería haber quedado claro desde el inicio la voluntariedad de la
aplicación, y como tal haberse desarrollado alternativas, o se debería haber analizado si la
versatilidad y automatismo en los recuentos de los puntos otorgados superaba a los
inconvenientes, así como su uso sin nombre y apellido era factible, y una información clara y
expresa a los padres en tal sentido. Estos elementos estaban ausentes en los inicios de su
uso en el curso 2018-2019, y deberían haber sido documentados explícitamente así como
analizados los riesgos probables derivados del uso de la aplicación.
-Tener una robusta organización que coordine y estructure las obligaciones por parte del
responsable del tratamiento, incluyendo la comunicación a las personas o entidades que
han de ejecutar las operaciones de tratamiento que reporten en ambos sentidos, información
al personal al que presta servicios y unifique las directrices sobre el tratamiento de datos
que suponen las aplicaciones
-Establecer formación en la materia de protección de datos y nuevas tecnologías, a los
profesionales de la educación.
-Procedimientos de evaluación y valoración de riesgos, y adopción de medidas técnicas y
organizativas que permitan eliminar o mitigar los daños que pudieran derivarse para los
derechos y libertades de las personas.
-Procedimientos de seguimiento de la implementación de los tratamientos, especialmente de
las aplicaciones educativas.
Se necesita pues un desenvolvimiento proactivo sobre la protección de los datos y
guardar las evidencias de los pasos que se toman para cumplir con el RGPD junto a la
circulación y vida de los datos.
Además, el principio de proactividad se ha de desarrolla en el marco de la
?Protección de datos desde el diseño y por defecto? que determina el artículo 25 del RGPD:
?1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza,
ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y
gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas,
el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de
tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas
apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los
principios de protección de datos, como la minimización de datos, e integrar las garantías
necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y
proteger los derechos de los interesados.?
IV
Los centros educativos recogen y tratan un volumen de datos enorme que son objeto
de tratamiento, a lo que hay que añadir la tipología de algunos datos que son datos especialmente
protegidos, sobre todo datos de salud, y las herramientas informáticas se comienzan
a utilizar el sector educativo ,permitiendo entre otras cuestiones obtener información sobre
perfiles de aprendizaje.
En determinados casos, los centros educativos para cumplir sus funciones necesitan
contar con la colaboración de otras personas o entidades que no forman parte de su organización.
A titulo de ejemplos, para el servicio de comedor, servicio médico, transporte, para
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/43
la realización de actividades extraescolares o a veces también relacionadas con los fines de
la educación, como podría ser el uso o desarrollo de aplicaciones informáticas y/o plataformas
educativas que se relacionan con la implantación y desarrollo del aprendizaje a través
de las nuevas tecnologías y competencias digitales. Su establecimiento debe producirse
dentro de un marco respetuoso con los derechos de los afectados.
La utilización de recursos informáticos tanto para la gestión de los centros educativos
como para el aprendizaje ha supuesto la aparición en el mercado de las PLATAFORMAS DE
GESTIÓN EDUCATIVA y las PLATAFORMAS DE APRENDIZAJE.
Las PLATAFORMAS DE GESTIÓN EDUCATIVA ponen a disposición de los Centros
educativos funcionalidades de gestión y de comunicación entre sus integrantes, recabando
gran cantidad de datos.
Las PLATAFORMAS DE APRENDIZAJE, por su parte, ponen a disposición de los
profesores y alumnos diferentes funcionalidades que favorecen el aprendizaje. Funcionalidades
que varían desde la utilización de la pizarra digital más sencilla, que consiste en un ordenador
con videoproyector para exhibir presentaciones y acceder a páginas web hasta el
denominado Entorno Virtual de Aprendizaje (EVA) o Virtual Learning Environment (VLE), sistema
de software diseñado para facilitar a profesores la gestión de cursos virtuales para sus
estudiantes, especialmente colaborando en la administración y desarrollo de los cursos.
Las plataformas de GESTIÓN EDUCATIVA realizan tratamientos de algunos o de todos
de los siguientes datos, a título de ejemplo,
- almacenamiento de datos identificativos de todos los integrantes del sistema educativo
alumnos padres tutores profesores.
-Tratamientos complementarios como los relacionados con el transporte comedor
conductas absentismo.
-Almacenamiento de datos médicos y psicopedagógicos.
-Datos de conectividad comunicaciones entre el centro educativo y los alumnos o familias
al proporcionar herramientas de este tipo.
-Gestión académica seguimiento del alumno desde el proceso de preinscripción y
matriculación listas de clase y evaluación (notas).
Las PLATAFORMAS DE APRENDIZAJE nacieron bajo el concepto de ?gestión de
contenidos?, aplicaciones informáticas que se utilizan principalmente para facilitar la gestión
de páginas web y sus contenidos, sistemas de gestión de aprendizaje que a través de aplicaciones
web permiten implementar comunicaciones y seguimiento del aprendizaje, logrando
mayor interacción entre profesores y alumnos. Tienen como objetivo la creación de un
entorno de trabajo colaborativo entre el profesorado y el alumnado para facilitar la gestión de
cursos virtuales. Permite seguir el progreso de los alumnos y puede ser gestionado por docentes
y por los mismos estudiantes. Las plataformas de aprendizaje suelen estar compuestas
de diferentes aplicaciones informáticas para entornos virtuales de aprendizaje como por
ejemplo aulas virtuales libros electrónicos, o mediateca que ofrece al profesorado y a sus
alumnos espacio para gestionar producciones multimedia.
En el presente caso, además, la información de la APP ***APLICACIÓN.1 almacenaba
sus datos en la ?nube?, modelo denominado ?Cloud Computing? o ?Computación en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/43
nube?, forma de prestación de servicios que se define como un modelo que posibilita el acceso
desde cualquier equipo y cualquier lugar a un conjunto compartido de recursos, tales
como capacidades de proceso o de almacenamiento de datos, aplicaciones, etc. permitiendo
a aquellos que optan por utilizar este modelo reducir el coste asociado a la implantación
de los sistemas de información. En el ?Cloud Computing? los datos se encuentran en el proveedor
del servicio de nube y se accede a través de internet desde cualquier dispositivo (teléfono
móvil, ordenador personal, tableta?), pudiendo estar el proveedor del servicio en
cualquier lugar del mundo.
La enseñanza se halla en una etapa de cambio sustancial en el que nuevas tecnologías
emergen y evolucionan muy rápidamente integrándose en las aulas. Si a ello se une la
especial vulnerabilidad de los menores, la gran cantidad de datos personales que se manejan
en este sector y la idoneidad de la utilización del ?Cloud Computing? en plataformas de
aplicaciones fácilmente descargables la normativa de protección de datos presta especial
atención a este escenario, considerando relevante prever y verificar las garantías adoptadas
respecto a los datos que se tratan en estos sistemas. En particular, los riesgos derivados
del tratamiento, medidas de seguridad implantadas por cada uno de los agentes, evitando
su alteración, pérdida, tratamiento o acceso no autorizado, así como contenido de la
información sobre tratamiento y fines, o ejercicio de derechos y control de los datos, con objeto
de garantizar la seguridad e integridad de los datos.
En cuanto a los sujetos intervinientes relacionados con el tratamiento de datos, hay
que acudir al concepto de responsable y encargado del tratamiento de datos personales en
el artículo 4.7 y 8. del RGPD:
?7) responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios
del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines
y medios del tratamiento, el responsable del tratamiento o los criterios específicos para
su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;?
8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad
pública, servicio u otro organismo que trate datos personales por cuenta del responsable
del tratamiento?
Las personas y entidades que para prestar los servicios citados tratan los datos de
carácter personal de los alumnos, sean estos los de algún curso o clase, con el común denominador
de que pueden pertenecer a un centro educativo, o a todos los centros educativos
de la Comunidad Autónoma en la que se utiliza la aplicación informatica que trata sus
datos, lo hacen con los datos titularidad del responsable del tratamiento. Este responsable
se caracteriza, de acuerdo con el artículo 4.7 del RGPD porque:
-Es el que establece el propósito o resultado del tratamiento, fines del mismo y de los
medios del tratamiento.
-Establece sobre que individuos se tratan los datos, en este caso los alumnos del
centro, pero pueden abarcar otros ámbitos, una clase o un curso, según decida.
-Se toman decisiones como parte o resultado del tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/43
Las empresas que realizan este tipo de servicios (Cloud Computing, plataformas
educativas, alojamiento de datos) ofertan a los centros educativos aplicaciones informáticas
estructuradas como ?plataforma de aprendizaje? accesibles ( así se califica en la propia
***APLICACIÓN.1) a través de Internet, se nutren como en el presente caso de datos de
los alumnos. Por tanto, en este caso, la esencia del uso de la aplicación ***APLICACIÓN.1
es la de consideración de encargado de tratamiento.
V
Se considera que la reclamada ha infringido el artículo 5.1.a del RGPD que
indica:
?1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado
(«licitud, lealtad y transparencia»)?
Como datos que son tratados por el titular de una aplicación informatica, la reclamada
debería haber implementado, como responsable del tratamiento, los mecanismos necesarios
en materia de protección de datos para que cuando se traten datos por terceros para la
prestación de un servicio de plataforma educativa a través de una aplicación informatica, se
cumpla la normativa que señala sus obligaciones contenidas en el artículo 28 del RGPD,
que para el caso concreto se enumeran:
?1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del
tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para
aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea
conforme con los requisitos del presente Reglamento y garantice la protección de los
derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por
escrito, específica o general, del responsable. En este último caso, el encargado informará
al responsable de cualquier cambio previsto en la incorporación o sustitución de otros
encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo
al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del
responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el
tipo de datos personales y categorías de interesados, y las obligaciones y derechos del
responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del
responsable, inclusive con respecto a las transferencias de datos personales a un tercer
país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho
de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el
encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que
tal Derecho lo prohíba por razones importantes de interés público;
b) garantizará que las personas autorizadas para tratar datos personales se hayan
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/43
comprometido a respetar la confidencialidad o estén sujetas a una obligación de
confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro
encargado del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de
medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda
cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de
los derechos de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en
los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a
disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez
finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a
menos que se requiera la conservación de los datos personales en virtud del Derecho de la
Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar el
cumplimiento de las obligaciones establecidas en el presente artículo, así como para
permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del
responsable o de otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará
inmediatamente al responsable si, en su opinión, una instrucción infringe el presente
Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los
Estados miembros.
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito,
inclusive en formato electrónico.
Añadiéndose en el ?tratamiento bajo la autoridad del responsable o del encargado de tratamiento ?( artículo 29):
?El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del
responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos
datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud
del Derecho de la Unión o de los Estados miembros.?
Se deduce de ello que no se consideran encargados del tratamiento a las personas físicas
que tengan acceso a los datos personales en su condición de empleados del centro
educativo (profesores) encuadrados en la Administración educativa, responsables del tratamiento.
Frente a la redacción de clausulas generales de aceptación del servicio , estas no
pueden liberar al responsable de sus obligaciones, debiendo el responsable del tratamiento
valorar los términos en función de lo señalado en esta resolución y los riesgos asociados.
Por ello, la alegación de la reclamada que ?no tiene competencia para desaconsejar
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/43
expresamente el uso de ?CD?, pues el uso de esta aplicación así como el de otras al alcance de
los centros educativos de la Comunidad de Madrid siempre queda supeditado, y así se
transmite, a la vigente normativa de Protección de datos? no se sostiene en la presente
normativa y bajo el principio de dirección del responsable del tratamiento, que debe prever que
el tratamiento cumple la normativa aplicable, así como coordinar y dirigir política referente al uso
de las aplicaciones educativas y los encargos de tratamiento.
Se acredita así la comisión de la infracción del artículo 5.1.a) del RGPD.
VI
A la infracción del artículo 5.1a) del RGPD se refiere el artículo 83.5.a) del RGPD que
indica:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total
anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9;?
Enlaza con ello el artículo 83.7 del RGPD que indica:
?Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del
artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede,
y en qué medida, imponer multas administrativas a autoridades y organismos públicos
establecidos en dicho Estado miembro?
El ordenamiento jurídico español ha optado por no sancionar con multa a las
entidades públicas, tal como se indica en el artículo 77.1. c) y 2. 4. 5. y 6. de la LOPDDGG:
?1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que
sean responsables o encargados:
c) La Administración General del Estado, las Administraciones de las comunidades
autónomas y las entidades que integran la Administración Local.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen
alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la
autoridad de protección de datos que resulte competente dictará resolución sancionando a
las mismas con apercibimiento. La resolución establecerá asimismo las medidas que
proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se
hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que
dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de
interesado, en su caso.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/43
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de
datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios
suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las
establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de
aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se
acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no
hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se
incluirá una amonestación con denominación del cargo responsable y se ordenará la
publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que
recaigan en relación con las medidas y actuaciones a que se refieren los apartados
anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de
las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al
amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta
publicará en su página web con la debida separación las resoluciones referidas a las
entidades del apartado 1 de este artículo, con expresa indicación de la identidad del
responsable o encargado del tratamiento que hubiera cometido la infracción.?
El artículo 28.1 de la ley 40/2015, de 1/10 de régimen jurídico del sector público,
establece;
?1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las
personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de obrar,
los grupos de afectados, las uniones y entidades sin personalidad jurídica y los patrimonios
independientes o autónomos, que resulten responsables de los mismos a título de dolo o
culpa.?
Desde el punto de vista material, la culpabilidad consiste en la capacidad que tiene el
sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento
jurídico. No se exige pues, la concurrencia de un ánimo deliberado de infringir la norma, con
conciencia y voluntad de hacerlo. Por tanto, lo relevante es la diligencia desplegada en la
acción por el sujeto, lo que excluye la imposición de una sanción, únicamente en base al
mero resultado, es decir al principio de responsabilidad objetiva. El campo de la simple
inobservancia es el clásico de la imprudencia o negligencia, en sus distintos grados. En este
supuesto se aprecia falta de diligencia, no exigiéndose un comportamiento imposible o de
suma dificultad
Se deriva del RGPD la distinción entre responsable del tratamiento y empleado o cargo
directivo de este, por ejemplo al referirse al Delegado de Protección de Datos, en su
considerando 97:?? Tales delegados de protección de datos, sean o no empleados del
responsable del tratamiento?, y las funciones de este en el artículo 39 del RGPD ?a) informar
y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen
del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y
de otras disposiciones de protección de datos de la Unión o de los Estados miembros;?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/43
Con ello, se quiere significar, que los cargos o empleados del responsable del tratamiento,
al llevar a cabo tratamientos de datos de carácter personal en el desempeño de sus
funciones, se hallan en el círculo del responsable del tratamiento, que es el que debe
establecer directrices y difusión de la información de modo que se consiga una aplicación
uniforme en su ámbito. Así y todo, si bien siempre existen personas que llevan a cabo los
tratamientos de datos por cuenta de sus responsables, los empleados, y cargos directivos
deben considerar antes de proceder a un tratamiento de datos, especialmente si es distinto
del habitual, o novedoso, por situación concreta que acarrea, como en este caso,
considerar la opinión e instrucción a seguir del responsable del tratamiento antes de llevar a
cabo el mismo. Lo contrario puede suponer una actuación unilateral con consecuencias en
los derechos de los afectados como en el presente caso. El responsable del tratamiento
debería antes que nada, haber emitido normas o instrucciones a sus empleados y centros
directivos para coordinar aspectos básicos de los tratamientos de datos. Conviene tener
presente que el uso de la mayoría de las aplicaciones en la nube, sobre todo en
aplicaciones radicadas fuera el espacio de la Unión Europea, como esta, con sede en
***PAÍS.1 ha dado lugar a transferencia internacional de datos de los niños. Debe
garantizarse que las transferencias de datos personales a un tercer país fuera de la UE,
únicamente se efectúen cuando esté garantizado un nivel adecuado de protección y previa
la ponderación ?sobre la base de una evaluación objetiva mediante la cual se determine si
las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.?
(considerando 76 del RGPD), teniendo en cuenta ?la vulnerabilidad de los datos de los
niños? (considerando 75), así como las sucesivas peticiones de la reclamante.
VII
El resumen de las medidas tomadas por la reclamada sería:
1) En actuaciones previas, informa de la aprobación con fecha en internet 4/06/2019 de
decálogo de buenas prácticas en el uso de aplicaciones educativas con en el siguiente alcance
:
-La única plataforma digital que recomienda la Consejería es la suya: EDUCAMADRID.
-Cuando el Centro haga uso de aplicaciones y herramientas externas a las institucionales de
la Consejería de Educación:
? El Centro debe haber aprobado e incluido en la PROGRAMACIÓN GENERAL
ANUAL del curso, el uso justificado de las plataformas o aplicaciones externas previa
comprobación de que cumplen con la política de privacidad exigida por el Reglamento (UE)
2016/679 de Protección de Datos y que puede consultarse por las familias o los alumnos
mayores de 14 años, a través de los enlaces correspondientes incorporados en la página
web del centro.
? En el uso de aplicaciones o plataformas educativas se anonimizará o
pseudonimizarán los datos personales necesarios de los alumnos y se cederán los mínimos
los estrictamente necesarios.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/43
-El 29/05/2019, junto con las instrucciones de principios de curso desde la Dirección General
entonces competente, envió a las Direcciones de Área territorial el decálogo y se difundió
entre sus respectivos centros educativos para que todos los docentes fueran conocedores
de estas recomendaciones. Añaden además, que de la gran diversidad de herramientas digitales
y plataformas educativas que los docentes deben conocer, ?si su uso se emplea en
cuestiones curriculares se ha dictaminado que los datos deben ser siempre anonimizados y
las instrucciones de principio de curso incluyen información más concreta sobre los diferentes
tipos de tratamientos a los centros educativos.?
2) Ya en situación declarada de pandemia global por la COVID-19, (el acuerdo de inicio se
firmó el 21/02/2020) la Dirección General de Bilingüismo y Calidad de la Enseñanza, firmó el
12/05/2020 una resolución con instrucciones y recomendaciones a los centros educativos en
relación con el uso de plataformas digitales con fines educativos
Se refiere a la implantación en la Comunidad de Madrid de la plataforma digital
EDUCAMADRID y sus características. Se indica que antes de utilizar otras herramientas
distintas para el aprendizaje y enseñanza en aplicaciones educativas alternativas, deberá
llevarse a cabo un análisis de riesgos en el que se analizan las políticas de privacidad de
dichas aplicaciones, el uso de técnicas de anonimización robustas y la normativa vigente en
materia de Protección de Datos, debiendo ser validado su uso por esa Dirección General, se
contienen referencias a la minimización de datos en el uso por los centros educativos y que
se utilice esta programación complementaria que se incluya dentro del programación
general anual que elabora el centro educativo en un ámbito específico dedicado a las TIC,
indicando en concreto también, la finalidad educativa que se persigue. También alude a las
relaciones con alumnos y familias a través de las cuentas institucionales del centro
educativo y de las del personal docente provistas por EDUCAMADRID y finaliza indicando la
potenciación de la formación en materia de Protección de Datos a los profesionales de la
enseñanza .
Manifiesta que estas instrucciones se difundieron a las Direcciones de Área territorial
y a los propios centros educativos
1) En pruebas la reclamada manifestó que con el asesoramiento de la Delegación de
Protección de Datos, están homogeneizando y valorando la evaluación de riesgos de los
proyectos de las diferentes plataformas o aplicaciones se propongan desde los centros educativos.
Han creado un protocolo para el control de herramientas que manejan los centros y
en qué actividades concretas las necesitan, estableciendo medidas que eviten tratamiento
de datos de carácter confidencial en dichas plataformas y que acote su uso y están elaborando
un plan de formación especial de Protección de Datos con alcance general.
Las correcciones señaladas junto con la constatación de medidas marco y de coordinación
en las competencias digitales educativas que se hacen en la modificación de la Ley de
Educación suponen unas herramientas adecuadas a implementar que para el caso concreto
se estiman razonables para que no se reitere una infracción como la declarada. Todo ello,
sin perjuicio de las potestades disciplinarias que considere oportuno ejercitar la Consejería
de Educación a los docentes y al responsable del centro, en el marco de los hechos
probados en la presente resolución.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/43
Por lo tanto, de acuerdo con la legislación aplicable,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a CONSEJERÍA DE EDUCACIÓN E INNOVACIÓN DE LA
COMUNIDAD DE MADRID, con NIF S7800001E, por una infracción del aartículo 5.1.a) del
RGPD, conforme señala el artículo 83.5 a) del RGPD, una sanción de apercibimiento.
SEGUNDO: NOTIFICAR la presente resolución a CONSEJERÍA DE EDUCACIÓN E
INNOVACIÓN DE LA COMUNIDAD DE MADRID.
TERCERO: COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de
conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
CUARTO : De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de
la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día
siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con
arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta
de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el
plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo
previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta
su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el
interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia
Española de Protección de Datos, presentándolo a través del Registro Electrónico de la
Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los
restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1/10. También
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del
recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición
del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-131120
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es